В марте этого года Илья Сачков провел открытый урок "Нереальная реальность" — выступление основателя Group-IB смотрели старшеклассники из 22 000 российских школ. После лекции Илья дал школьникам домашнее задание: придумать концепцию, подобрать материалы и сверстать лендинг об информационной безопасности. Победителем оказался ученик 11 класса Тимур Якшимбетов из города Радужный Ханты-Мансийского автономного округа. Школьник получил приглашение на конференцию CyberCrimeCom, а его идеи легли в основу  лендинга "Цифровая карта безопасности школьника", подготовленного проектом "ПроеКТОриЯ" вместе со специалистами Group-IB.  Не беречь от детей: поделитесь с ними этой важной информацией!  #проектория #знаниесила #делаем https://lesson.proektoria.online/cyber

Новости с сингапурских полей АСЕАН 2018. На фото министр промышленности и торговли РФ Денис Мантуров, министр экономического развития РФ Максим Орешкин и министр энергетики РФ Александр Новак. Вся делегация внимательно наблюдала за демонстрацией возможностей нового продукта Group-IB - первой в мире системы, которая позволяет в одном интерфейсе  рассматривать контекст атаки, предотвратить ее на этапе подготовки и в некоторых случаях понять, кто совершает атаку с точностью буквально до человека. #Делаем!

Премьер-министр Канады Джастин Трюдо (на фото справа) в компании директора по развитию международного бизнеса Group-IB Ника Палмера.

Фонд "Сколково", РФПИ и Сообщество предпринимателей Сингапура (Action Community for Entrepreneurship, ACE) договорились о сотрудничестве, направленном на совместную поддержку глобальных предпринимательских инициатив в России и Сингапуре и оказание помощи российским стартапам в выходе на рынок Сингапура и стран Юго-Восточной Азии. Соглашение подписано сегодня в ходе проведения саммита Россия-АСЕАН.  http://sk.ru/news/b/articles/archive/2018/11/14/skolkovo-budet-sodeystvovat-sotrudnichestvu-startapov-rf-i-singapura.aspx?fbclid=IwAR1pHduU-u5yuYLPQb2WS1han_UzxElkEoZKZA79242kyjdKV9xyfz3Dz3c

На фото Sk.ru: Генеральный директор Group-IB Илья Сачков общается с делегацией правительства РФ на стенде «Сколково» в Сингапуре. Слева-направо: вице-премьер Максим Акимов, министр энергетики Александр Новак, вице-президент Фонда «Сколково» Юрий Сапрыкин, глава Минэкономразвития Максим Орешкин и Илья Сачков.

МОЛНИЯ. Москва, 15.11.2018 — Group-IB: Сразу две хакерские группы атаковали российские банки от имени Центробанка

Group-IB зафиксировала массовые вредоносные рассылки по российским финансовым учреждениям якобы от имени Центрального Банка России и ФинЦЕРТ, структуры Департамента информационной безопасности ЦБ. Эксперты Group-IB установили, что атаку 15 ноября могла провести хакерская группа Silence, а 23 октября — MoneyTaker. Обе преступных группы включены Group-IB в число наиболее опасных для российских и международных финансовых организаций.

Утром 15 ноября Group-IB зафиксировала массовую вредоносную рассылку по российским банкам с фейкового адреса Центрального банка России. Разумеется, сам ЦБ не имеет к рассылке никакого отношения — злоумышленники подделали адрес отправителя. SSL-сертификаты для прохождения проверки DKIM не использовались. Письма с темой «Информация центрального банка Российской Федерации» предлагали получателям ознакомиться с постановлением регулятора «Об унифицировании формата электронных банковских сообщений ЦБ РФ» и незамедлительно приступить к исполнению «приказа». Документы якобы размещались во вложенном архиве, распаковав который пользователь в итоге загружал Silence.Downloader —инструмент, который используют хакеры Silence.  

Эксперты Group-IB отметили, что письма были стилизованы под официальные рассылки регулятора.  Скорее всего, хакеры могли иметь доступ к образцам подлинных сообщений. Напомним, что согласно данным отчета Group-IB, выпущенного в сентябре этого года, участниками Silence являются люди, предположительно занимавшиеся или занимающиеся легальной работой — пентестами и реверс-инжинирингом. Именно поэтому они хорошо знакомы с документооборотом в финансовом секторе и работой банковских систем.

Получателями рассылки от 15 ноября были не менее 52 банков в России и не менее 5 банков за рубежом. К сожалению, точно установить всех получателей на данный момент нельзя. Цифры основаны на статистике, собранной системами Group-IB TDS. Но, основываясь на данных по предыдущим атакам, можно подсчитать, что атака велась, скорее всего, по более чем 100 организациям.

Атака в октябре: MoneyTaker
Письмо, отправленное 23 октября также с поддельного адреса ФинЦЕРТ, содержало пять вложений, стилизованных под официальные документы ЦБ. Среди них: «Типовая форма соглашения о взаимодействии Центрального банка Российской Федерации по вопросам мониторинга и обмена.doc». Три файла из пяти являлись пустышками-приманками, а два других содержали загрузчик Meterpreter Stager. Для управления этой атакой использовались самоподписанные SSL-сертификаты. Кроме того, серверная инфраструктура, задействованная в ней, неоднократно использовалась с предыдущих атаках хакерами MoneyTaker. Все это позволило предположить, что за октябрьской атакой якобы от имени ЦБ стоят именно они.

Все подробности уже тут: https://www.group-ib.ru/media/cbrf-double-attack/

Нас часто спрашивают, как технологии Group-IB позволяют предотвращать киберугрозы? Разберем это на актуальных примерах — атаках, проведенных хакерскими группами Silence и MoneyTaker якобы от имени Центробанка России:

1) TDS Polygon выявил обе рассылки, а в режиме inline автоматически заблокировал их. Технология детектирует вредоносные вложения, даже если при их отправке преступники используют методы социальной инженерии и самые продвинутые техники обхода решений класса «песочница». TDS Polygon – модуль комплексного решения для проактивного обнаружения угроз, основанного на технологиях слежения за киберпреступниками, их инструментами и инфраструктурой.

2) Клиенты Threat Intelligence первыми узнали об активности киберпреступников и потенциальной угрозе. Так информация и индикаторы атаки от 23 октября и 15 ноября были оперативно загружены в систему. Каждое уведомление содержит действенные рекомендации для эффективного и быстрого реагирования, а также индикаторы компрометации, доступные для автоматической интеграции в существующие системы информационной безопасности через API, STIX/TAXII.

3) И вот что важно, рассылки Silence начались ранним утром, и специалисты круглосуточного центра реагирования на инциденты CERT-GIB своевременно оповестили пользователей системы Polygon каждой из атакованных компаний. Благодаря CERT-GIB такие, без сомнения, важные события не остаются незамеченными в бесконечном потоке ежедневных инцидентов информационной безопасности.

Узнать больше о возможностях решений и начать пилотный проект можно тут https://www.group-ib.ru/tds.html, https://www.group-ib.ru/intelligence.html, https://www.group-ib.ru/cert.html

Меньше чем через четыре часа в России стартует «Черная пятница» — масштабная распродажа, с которой в США и в Европе начинается традиционный сезон рождественских скидок. В последние годы ажиотаж на BlackFridaySale наблюдается не только в магазинах, где за товарами со скидками 50%—80% выстраиваются огромные очереди, но и в интернете. Group-IB предупреждает о повышении мошеннической активности в связи с BlackFridaySale.  Эксперты Brand Protection обнаружили более 400 сайтов-клонов, копирующих популярную торговую интернет-площадку AliExpress, и еще две сотни сайтов, созданных под известные бренды и интернет-магазины.  Целью подобных  мошеннических ресурсов может быть как реализация контрафактных товаров, так и кража денег или данных банковских карт пользователей.  Подробности:  https://www.group-ib.ru/media/black-friday-2018/

Так выглядит сайт-клон AliExpress