Size: a a a
2018 August 24
Сегодня у нас на Хабре захватывающее пятничное чтиво от Ивана Писарева. Эксперты Group-IB проанализировали троян IcedID, атакующий клиентов банков США, и выложили в публичный доступ результаты глубокого разбора формата динамических конфигурационных данных с Python-скриптами и информацию по CnC-серверам. https://habr.com/company/group-ib/blog/418189/
2018 August 28
Уже завтра, 29 августа, состоится вебинар руководителя отдела расследований Group-IB Сергея Лупанина "Почти идеальное киберпреступление. Расследование в деталях". Начало в 11.00 (МСК). Регистрация строго с корпоративной почты https://attendee.gotowebinar.com/register/1086941303685161987?source=telegram
2018 August 29
"Мгновенного снятия блокировок Telegram в России ожидать точно не следует, так как выдача мессенджером по запросу суда ограниченного набора технических сведений об аккаунте (IP, телефонный номер пользователя) — это не передача ключей шифрования переписки, выдачи которых добивалась ФСБ, — считает Александр Калинин, руководитель Центра реагирования на инциденты информационной безопасности (CERT) Group-IB. — В кампании по блокировке Telegram в России победителей не оказалось. Но теперь, хочется верить, конфликт удастся урегулировать в рамках правового поля". https://www.the-village.ru/village/city/asking-question/323361-telegram-i-spetssluzhby
Открыта регистрация на вебинар Андрея Бусаргина, директора департамента инновационной защиты бренда Group-IB, "Мошенничество в интернете: типология преступных схем и размеры хищений". Начало 6 сентября, в 11:00 (МСК).
На этом вебинаре разберем наиболее распространённые схемы мошенничества с использованием бренда компании, поговорим о мировом и российском рынках онлайн-торговли контрафактом, а также расскажем о новых методах создания и распространения фишинговых ресурсов. Регистрация строго с корпоративной почты: https://attendee.gotowebinar.com/register/8607738276627012867?source=SMM
На этом вебинаре разберем наиболее распространённые схемы мошенничества с использованием бренда компании, поговорим о мировом и российском рынках онлайн-торговли контрафактом, а также расскажем о новых методах создания и распространения фишинговых ресурсов. Регистрация строго с корпоративной почты: https://attendee.gotowebinar.com/register/8607738276627012867?source=SMM
2018 August 31
Помните, мы говорили про всплеск активности троянов-майнеров в коммерческих компаниях и госорганизациях? Теневые форумы под завязку забиты предложениями о продаже троянов для криптоджекинга: самые дешевые из них продаются всего по 0,5$ за штуку! Бери - не хочу.
Но самое неприятное в другом - трояны-майнеры слабо дектируются большинством антивирусов. И тут, похоже, нужны сильные лекарства.
Вот вам пример. Наш давний клиент - группа компаний Simple — поставил у себя TDS (Threat Detection System). Сразу после установки один из модулей продукта — TDS Sensor — зафиксировал подозрительную активность, квалифицированную как Coinminer: угроза исходила из части внутренних узлов клиента. Сотрудники ИТ-службы Simple оперативно провели сканирование сети несколькими антивирусами российских и европейских производителей. Арсенал не помог: детектировать активность с помощью обычных антивирусных программ не удалось. «Вычислил» троян-майнер TDS Sensor — модуль сигнатурного анализа трафика и выявления сетевых аномалий, позволяющий выявлять различные типы атак с использованием ранее неизвестных программ по характерным признакам сетевых взаимодействий зараженных хостов. Анализируя трафик в защищаемом сегменте сети, TDS способен выявить факт компрометации узлов сети и заражение вредоносным ПО. В данном случае, это была программа-троян с функцией майнинга. Выяснилось, что часть хостов компании «майнили» криптовалюту. Дамп был проанализирован в Лаборатории компьютерной криминалистики Group-IB, Simple оперативно заблокировал необходимые службы на «майнящих» хостах и, следуя рекомендациям экспертов Group-IB, ликвидировал угрозу. https://www.group-ib.ru/media/simple-cryptojacking/
Но самое неприятное в другом - трояны-майнеры слабо дектируются большинством антивирусов. И тут, похоже, нужны сильные лекарства.
Вот вам пример. Наш давний клиент - группа компаний Simple — поставил у себя TDS (Threat Detection System). Сразу после установки один из модулей продукта — TDS Sensor — зафиксировал подозрительную активность, квалифицированную как Coinminer: угроза исходила из части внутренних узлов клиента. Сотрудники ИТ-службы Simple оперативно провели сканирование сети несколькими антивирусами российских и европейских производителей. Арсенал не помог: детектировать активность с помощью обычных антивирусных программ не удалось. «Вычислил» троян-майнер TDS Sensor — модуль сигнатурного анализа трафика и выявления сетевых аномалий, позволяющий выявлять различные типы атак с использованием ранее неизвестных программ по характерным признакам сетевых взаимодействий зараженных хостов. Анализируя трафик в защищаемом сегменте сети, TDS способен выявить факт компрометации узлов сети и заражение вредоносным ПО. В данном случае, это была программа-троян с функцией майнинга. Выяснилось, что часть хостов компании «майнили» криптовалюту. Дамп был проанализирован в Лаборатории компьютерной криминалистики Group-IB, Simple оперативно заблокировал необходимые службы на «майнящих» хостах и, следуя рекомендациям экспертов Group-IB, ликвидировал угрозу. https://www.group-ib.ru/media/simple-cryptojacking/
А вот совсем не праздный вопрос: почему ваш антифишинг не детектирует фишинговые сайты и как Data Science заставит его работать?
В России, по нашим оценкам, действует 15 преступных групп, занимающихся фишингом, направленным на финансовые учреждения. Суммы ущерба всегда небольшие (в десятки раз меньше, чем от банковских троянов), но количество жертв, которые они заманивают на свои сайты, ежедневно исчисляется тысячами. Около 10–15% посетителей финансовых фишинговых сайтов сами вводят свои данные.
При появлении фишинговой страницы счет идет на часы, а иногда даже на минуты, поскольку пользователи несут серьезный финансовый, а в случае компаний — еще и репутационный ущерб. Например, некоторые успешные фишинговые страницы были доступны менее суток, но смогли нанести ущерб на суммы от 1 000 000 рублей.
Ресурсы, «подозреваемые» в фишинге, можно легко детектировать с помощью различных технических средств: honeypots, краулеров и т.д., однако убедиться в том, что они действительно фишинговые, и определить атакуемый бренд проблематично.
В этой статье Павел Слипенчук, архитектор систем машинного обучения, Group-IB, рассказывает о том, как эффективно детектировать фишинговые сайты с помощью анализа ресурсов (изображений CSS, JS и т.д.), а не HTML, и как специалист по Data Science может решить эти задачи. https://habr.com/company/group-ib/blog/420269/
В России, по нашим оценкам, действует 15 преступных групп, занимающихся фишингом, направленным на финансовые учреждения. Суммы ущерба всегда небольшие (в десятки раз меньше, чем от банковских троянов), но количество жертв, которые они заманивают на свои сайты, ежедневно исчисляется тысячами. Около 10–15% посетителей финансовых фишинговых сайтов сами вводят свои данные.
При появлении фишинговой страницы счет идет на часы, а иногда даже на минуты, поскольку пользователи несут серьезный финансовый, а в случае компаний — еще и репутационный ущерб. Например, некоторые успешные фишинговые страницы были доступны менее суток, но смогли нанести ущерб на суммы от 1 000 000 рублей.
Ресурсы, «подозреваемые» в фишинге, можно легко детектировать с помощью различных технических средств: honeypots, краулеров и т.д., однако убедиться в том, что они действительно фишинговые, и определить атакуемый бренд проблематично.
В этой статье Павел Слипенчук, архитектор систем машинного обучения, Group-IB, рассказывает о том, как эффективно детектировать фишинговые сайты с помощью анализа ресурсов (изображений CSS, JS и т.д.), а не HTML, и как специалист по Data Science может решить эти задачи. https://habr.com/company/group-ib/blog/420269/
2018 September 05
Тишина может быть обманчивой. Сегодня Group-IB публикует первый подробный отчет о преступлениях хакерской группы Silence. Их жертвами уже стали российские банки, однако следы атак группы аналитики Group-IB обнаружили в более чем 25 странах по всему миру. Подтвержденный ущерб от деятельности Silence на данный момент составляет 52 млн руб. Эксперты Group-IB проанализировали инструменты, техники и схемы атак группы, и выдвинули гипотезу о том, что по крайней мере один из двух участников Silence – это бывший или действующий сотрудник компании сферы информационной безопасности. Подробности: https://www.group-ib.ru/media/silence/
Эксперты Group-IB называют Silence одной из главных угроз для российских и иностранных банков после снижения активности Cobalt https://tass.ru/ekonomika/5523894
Костяк команды Silence состоит всего из двух человек — разработчика и оператора. Ограниченность ресурсов объясняет тот факт, что атаки они совершают избирательно, а на совершение хищений у них уходит до 3-х месяцев, что, как минимум, в три раза дольше, чем у Anunak, Buhtrap, MoneyTaker и Cobalt. Разработчик имеет навыки высококвалифицированного реверc-инженера, он разрабатывает инструменты для проведения атак, модифицирует сложные эксплойты и программы. Однако при разработке допускает немало ошибок: это характерно для вирусного аналитика или реверс-инженера, он знает, как именно пишутся программы, но не знает как правильно программировать. Второй член команды — оператор, он хорошо знаком с проведением тестов на проникновение, что позволяет ему ориентироваться внутри банковской инфраструктуры. Именно он использует разработанные инструменты для получения доступа к защищенным системам внутри банка и запускает процесс хищений.
Скачать отчет: group-ib.ru/silence
Скачать отчет: group-ib.ru/silence
Впервые активность группы была зафиксирована специалистами Group-IB в 2016 году. Тогда злоумышленники попытались вывести деньги через российскую систему межбанковских переводов АРМ КБР, однако вследствие неправильной подготовки платежного поручения, хищение удалось предотвратить.
Больше двух лет о Silence не было ни одного упоминания, позволявшего идентифицировать ее как самостоятельную группу. Хронология и характер атак, восстановленные после проведения криминалистических экспертиз Group-IB, подтверждают то, что в начале своего пути преступники не имели навыков взлома банковских систем и во время проведения своих первых операций учились буквально на ходу. С осени 2017 группа начала заметно прибавлять в активности. Очевидно, Silence постоянно анализируют опыт других преступных групп, пробуют применять новые техники и способы краж из различных банковских систем. Среди них — АРМ КБР, банкоматы, карточный процессинг.
Скачать отчет: group-ib.ru/silence
Больше двух лет о Silence не было ни одного упоминания, позволявшего идентифицировать ее как самостоятельную группу. Хронология и характер атак, восстановленные после проведения криминалистических экспертиз Group-IB, подтверждают то, что в начале своего пути преступники не имели навыков взлома банковских систем и во время проведения своих первых операций учились буквально на ходу. С осени 2017 группа начала заметно прибавлять в активности. Очевидно, Silence постоянно анализируют опыт других преступных групп, пробуют применять новые техники и способы краж из различных банковских систем. Среди них — АРМ КБР, банкоматы, карточный процессинг.
Скачать отчет: group-ib.ru/silence
В октябре 2017 года был зафиксирован первый известный нам успешный случай вывода денег группой #Silence через банкоматы. За одну ночь им удалось похитить 7 млн. рублей. В апреле 2018 года группа снова выводит деньги через банкоматы. Им удается за одну ночь «вынести» порядка 10 млн. рублей. На этот раз созданные Silence программы были усовершенствованы: избавлены от лишних функций и прежних ошибок. Скачать отчет: group-ib.ru/silence
А вот в феврале 2018 года группа Silence провела успешную атаку и вывод денег через карточный процессинг: за выходные им удалось снять с карточек через банкоматы партнера банка 35 млн. рублей. Скачать отчет: group-ib.ru/silence