Предвосхищая завтрашние пресс-релизы,  делимся с вами хорошими новостями. Всего час назад Илья Сачков, CEO Group-IB, поднялся на сцену, для того чтобы... получить заслуженный "оскар" российского сегмента Интернета. Да, друзья, Премия Рунета снова наша! Компания Group-IB одержала победу в номинации "Кибербезопасность". Спасибо, что вы с нами, что верите в нас и разделяете наши победы! К защите в киберпространстве всегда готовы! #делаем #groupib #кибербезопасность

Group-IB зафиксировала массовую вредоносную рассылку по финансовым учреждениям и предприятиям. Злоумышленники отправили более 11 000 писем с фейковых почтовых адресов российских госучреждений — все они содержали троян RTM, предназначенный для кражи денег из сервисов дистанционного банковского обслуживания (ДБО) и платежных систем. В среднем, одно успешное хищение такого типа приносит злоумышленникам около 1,1 млн рублей. В настоящее время вредоносные рассылки продолжаются. #RTM https://www.group-ib.ru/media/rtm-bank-attack/

Начиная с 11 сентября система Group-IB Threat Intelligence (киберразведка) фиксировала массовые рассылки по российским банкам, промышленным и транспортным компаниям: 3210 писем было отправлено в сентябре, 2311 — в октябре, в 4768 — в ноябре и 784 — в декабре. Рассылки шли «волнами», пик пришелся на 24 и 27 сентября — 729 и 620 писем соответственно. В общей сложности с сентября до начала декабря хакеры отправили 11 073 писем с 2 900 различных электронных адресов, подделанных под госучреждения. Среди «отправителей» региональные управления:
📌 Роспотребнадзора,
📌Россельхознадзора,
📌Ростехнадзора,
📌Росприроднадзора,
📌Министерства труда и соцразвития,
📌УФСИН,
📌прокуратуры,
📌судов и др.
Фальшивые письма, не имеющие к деятельности реальных государственных и муниципальных организаций никакого отношения, были замаскированы под служебные документы, например, «Оплата август-сентябрь», «Копии документов», «Служебная записка», «Отправка на четверг», и др. В Group-IB подчеркивают, что темы писем, равно как и адрес отправителя, постоянно меняются. #RTM

В целом, за осень — с сентября по ноябрь — преступная группа RTM предприняла несколько масштабных атак на крупные российские банки и предприятия. Вредоносная активность была обнаружена и блокирована с помощью системы раннего предупреждения кибератак Threat Detection System Polygon (TDS), позволяющей в безопасной, изолированной от основной сети банка среде «распаковывать» подозрительные письма, проверять их на наличие вредоносных вложений и выносить вердикт о степени опасности обнаруженного объекта. #RTM

Сегодня утром Group-IB сообщила о масштабной атаке, которую этой осенью провели хакеры из RTM — они разослали  по банкам и предприятиям более 11 000 писем с фейковых почтовых адресов российских госучреждений — все они содержали троян RTM, предназначенный для кражи денег. Вредоносные рассылки продолжаются до сих пор. Семен Рогачев, младший специалист по анализу вредоносного кода Group-IB, подробно рассказывает, как работала схема с рассылкой трояна, проанализировал  его функционал и процесс заражения. #RTM https://habr.com/company/group-ib/blog/432256/

Для того, чтобы компаниям не стать жертвой киберпреступников, эксперты Group-IB рекомендуют правильно выстраивать систему проактивной защиты, исходя из актуальных киберугроз.
📌Ключевую роль в выявлении подобных угроз играют продукты класса Anti-APT, позволяющие проводить многосторонний анализ вредоносных файлов в «песочнице». Необходимо использовать системы раннего предупреждения и детектирования атак в корпоративной сети, решения для поведенческого анализа файлов в безопасной среде (класса "песочница").  Другие рекомендации и анализ атаки — в блоге Group-IB. https://www.group-ib.ru/blog/email

Открыта регистрация на вебинар  "Intelligence-driven SOC и можно ли без него обойтись?",  который пройдет 18 декабря, с 11:00 до 12:00 (МСК).
На вебинаре Александр Калинин, руководитель CERT Group-IB,  на реальных примерах продемонстрирует:
📌 общую схему работы CERT-GIB в части поддержки клиентов TDS;
📌каких ключевых вещей может не хватать традиционному SOC;
📌кейсы с рассылками от MoneyTaker и Silenсe и какую роль сыграли технологии в защите инфраструктуры клиентов.
Ссылка на регистрацию (строго с корпоративной почты!):
https://attendee.gotowebinar.com/register/1482759994869734915?source=Telegram

Group-IB зафиксировала более 40 000 скомпрометированных учетных записей пользователей крупнейших государственных ресурсов в 30 странах мира Среди этих сайтов оказались госресурсы Польши (gov.pl), Румынии (gov.ro) и Швейцарии (admin.ch), Министерства обороны Италии (difesa.it), Армии обороны Израиля (idf.il), Правительство Болгарии (government.bg), Министерство финансов Грузии (mof.ge), Управление иммиграционной службы Норвегии udi.no, Министерства иностранных дел Румынии и Италии и так далее.  В списке жертв как госслужащие, военнослужащие, так и рядовые граждане, которые, например, регистрировались на сайтах госуслуг Франции (gouv.fr), Венгрии (gov.hu) и Хорватии (gov.hr). Всего же за последние полтора года системой Threat Intelligence зафиксировано около 40 000 скомпрометированных «учеток» — больше всего жертв оказалось в Италии (52%), Саудовской Аравии (22%) и Португалии (5%). CERT-GIB  - Центр реагирования на инциденты информационной безопасности Group-IB оперативно предупредил уполномоченные государственные организации CERT в этих странах о потенциальной опасности. Подробности: https://www.group-ib.ru/media/state-resource/

Согласно данным Group-IB, злоумышленники похищали учетные записи с помощью специальных шпионских программ — формграбберов, кейлоггеров, таких как  Pony Formgrabber, AZORult и Qbot (Qakbot). Заражение пользователей этими вредоносными программами происходило по «классической» схеме — через фишинговые рассылки, которые отправлялись злоумышленниками как на корпоративную, так и или личную почту жертв. В письмах находилось вредоносное вложение — файл или архив — после открытия которого на компьютере пользователя запускался троян, предназначенный для кражи информации.

CERT-GIB (Computer Emergency Response Team – Group-IB) – центр круглосуточного реагирования на инциденты информационной безопасности. Это “компьютерный спецназ” Group-IB, который работает  в режиме 24/7. Команда CERT-GIB оказывает  помощь в реагировании на следующие типы инцидентов:
📌DoS / DDoS атаки
📌Распространение вредоносного программного обеспечения
📌Появление мошеннических интернет-ресурсов
📌Несанкционированный доступ и компрометация информационных систем
📌Инциденты, связанные с бот-сетями
📌Фишинг и незаконное использование бренда в сети Интернет
📌Атаки на ДБО и электронные платежные системы

За семь лет работы специалистами CERT GIB  было заблокировано более 12 000 доменных имён в зонах ".рф" и .ru" — в первую очередь тех, откуда шло управление ботнетами,  распространение вредоносного ПО или наличие фишинга.

Сообщить об инциденте:
Позвоните нам +7 (495) 984-33-64, напишите на response@cert-gib.ruresponse@cert-gib.ru свяжитесь с нашим
ботом в Telegram (@antiphishing_bot)
@antiphishing_bot)
или заполните заявку.

В эти минуты на форуме ПроеКТОриЯ школьник Тимур Якшимбетов из города Радужный (ХМАО) рассказывает Владимиру Путину, что твёрдо решил заняться информационной безопасностью после победы в совместном кейс-чемпионате ПроеКТОрии и  Group-IB, и визита в октябре на CyberCrimeCon2018.

По заданию Ильи Сачкова Тимур придумал концепцию лендинга "Цифровая карта безопасности школьника", подготовленного проектом "ПроеКТОриЯ" вместе со специалистами Group-IB.  #знаниесила #делаем https://lesson.proektoria.online/cyber#popups