Напомним, что в рамках представленного отчета Hi-tech Сrime Trends 2018 эксперты Group-IB сделали следующие выводы относительно кибертак в госсекторе:

❗️Шпионаж остается основным видом деятельности групп, спонсируемых государствами разных стран. По сравнению с прошлым годом появился только один новый игрок, активно использовавший свой инструмент - Triton для тестирования вывода критической инфраструктуры из строя.
❗️Активность новых групп остается незамеченной, однако, с каждым годом удается узнавать как о прошлых атаках уже известных групп, так и новых группах, чья прежняя активность оставалось незамеченной, например, группы Slingshot, которую связывают с США и Orangeworm.
❗️Многие группы, начали использовать вместе со своими уникальными инструментами, также и общеизвестные программы, используемые экспертами по тестам на проникновение. Использование таких инструментов сильно усложняет процесс атрибуции.
❗️В развитии хакерских инструментов, атакующие уделяют внимание уже не только Windows платформам, но и MacOS, а также мобильным операционным системам.
❗️Все больше внимания проправительственные хакеры уделяют уязвимостям в домашних маршрутизаторах. Это позволяет им не только шпионить не заражая компьютерную технику атакуемых пользователей, но и поддерживать более разветвленную и динамическую инфраструктуру.

#прогнозы #саботаж #шпионаж

Прогнозы направления киберразведки (Threat Intelligence) Group-IB, приводимые в этом отчете, таковы:

❗️Фишинг останется основным методом заражения инфраструктур, но с развитием степени зрелости отдельных групп этот метод будет замещаться другими техниками, более сложными в обнаружении. В этом году тренд может сместиться в сторону уязвимого сетевого оборудования.
❗️Организациям, которым хотят защитить свои данные, необходимо думать о безопасности не только своих корпоративных инфраструктур, а также о безопасности домашних сетей и персональных устройств топ-менеджеров.
❗️Энергетические объекты останутся главной мишенью групп, цель которых - саботаж.
❗️Самораспространяемые трояны-шифровальщики будут использоваться для атаках на физически изолированные (air-gapped) сети.
❗️Из-за растущего количества исследований по #APT группам, ожидается что многие из них начнут использовать уникальные признаки отдельных групп, что будет вводить исследователей в заблуждение и приводить к неправильной атрибуции.

Получить отчет можно по ссылке: https://www.group-ib.ru/resources/threat-research/2018-report.html

#авиамили #андеграунд #взломаккаунтов

✈️ Слетать в Нью-Йорк бизнес-классом — вещь, безусловно, приятная, хоть и дорогая — 200 тыс. руб. в обе стороны. Но если у вас есть 110 тыс. миль на бонусной карте, та же поездка обойдется всего в 35 тыс. — доплата за топливный сбор.
✈️ Мили можно долго копить, а можно сразу купить в интернете на специальных сайтах или в закрытых пабликах, сообщает #КоммерсантFM
Татьяна из Санкт-Петербурга продает свои 160 тыс. миль она продает за 60 тыс. руб., Александр из Москвы  предлагает мили вдвое дешевле. Он общается через мессенджеры, и просит перевести всю сумму сразу. На вопрос, где гарантия, отвечает, что для подстраховки можно воспользоваться услугами посредника, который возьмет за это тысячу рублей. Вроде бы всё гладко, но нет.
❗️Покупка чужих миль не означает, что в конце вас ждет премиальный билет, предупреждает замруководителя департамента защиты бренда и интеллектуальной собственности Group-IB Дмитрий Тюнькин:
«Система гарантов работает на черном и сером рынках довольно активно, и, несмотря на свое название, абсолютно не гарантируют получение вами билета. Даже при общении с человеком, который абсолютно честно и открыто хочет передать вам мили в ваше личное пользование, может в итоге выйти так, что пользоваться вы ими не сможете». Аннулировать бонусы или даже весь билет могут, если мили украдены с чужого счета.
https://www.kommersant.ru/doc/3904363

О криминальной подоплеке темы с милями рассказывает Дмитрий Шестаков, руководитель группы исследования киберпреступности Group-IB:

📌 Основной криминальный способ “набора” миль —  взлом аккаунтов пользователей с помощью фишинга, заражения трояном или “брут” (подбор логинов-паролей) к аккаунтам жертв с помощью “комбо-листов” с уже имеющимися скомпрометированными данными.

📌 В андеграунде действует множество сервисов по продаже украденных миль и скомпрометированных аккаунтов:  
- Продажа скомпрометированных аккаунтов с милями - покупателю нужно самому приобрести билет, используя купленный аккаунт.
- Продажа миль - злоумышленники предлагают за определенную сумму перевести мили на аккаунт покупателя в тех сервисах, где разрешена передача миль.
- Покупка билетов за процент от стоимости - это наиболее распространеная услуга в андеграунде: злоумышленник создает сервис, который предлагает покупателю приобрести билеты за некий процент от стоимости. В таком случае покупатель предоставляет злоумышленнику все свои данные, а злоумышленник, используя скомпрометированные мили, приобретает билет для него.

📌Цена зависит от типа сервиса и авиакомпании. Дешевле всего продаются уже скомпрометированные аккаунты с милями, чуть дороже стоят “чистые” мили и самая дорогая услуга  – это продажа билета за процент от стоимости.

📌 Эксперты Group-IB предупреждают:
использование всех подобных андеграундных услуг является незаконным, так как по факту покупатели приобретают аккаунты или мили, которые принадлежат другим людям. Это почти то же самое, что и скупка краденых вещей.

#мошенничество #8марта

Первый весенний праздник 8 марта — девушки находятся в предвкушении сюрпризов, а мужчины в поиске идей для этих самых сюрпризов. И всё это время злоумышленники работают без выходных и перерывов на обед.
По данным исследования Yandex, топ 3 подарков, которые хотели бы получить женщины на 8 марта это:
📍Цветы
📍Ювелирные изделия
📍Косметика и парфюмерия
О цветах мы уже писали ранее, поэтому на этот раз остановимся на других категориях. Если что, про букеты здесь: https://www.group-ib.ru/media/8-of-march-gib-advice/

В канун 8 марта команда Group-IB Brand Protection выявила несколько крупных сетей сайтов, незаконно использующих товарные знаки известных брендов.
👉 Так одна из мошеннических сетей содержит более 200 ресурсов, ориентированных на различные отрасли, и каждый из этих ресурсов направлен на отдельный бренд. Вот лишь некоторые примеры

Якобы косметика MAC

Якобы Victoria Secret

Якобы "Русское золото"

Обратите внимание на мелкий шрифт внизу страницы. Что называется, «под звёздочкой». ❗️Здесь самое интересное: злоумышленники рассчитывают таким образом “подстелить себе соломку” и фактически, прописывая название бренда на русском и английском языках, делают возможной индексацию ресурса в поисковых системах:

#8марта #распознатьмошенника

К 8 марта - 8 правил от Group-IB Brand Protection, которые помогут вам купить качественный подарок для милых дам в Интернете:

📍Сомневаетесь? – Проверьте. Золотое правило любой покупки в Интернете. Если сайт вызывает у вас малейшее сомнение, его стоит проверить.

📍Проверяйте способы оплаты – отсутствие возможности оплатить товар при получении или возможность приобрести товар только по предоплате могут свидетельствовать о мошенничестве.

📍Совершайте покупки по предоплате только в проверенных Интернет-магазинах

📍Проверяйте товар сразу при получении.

📍Проверяйте дату создания   сайта Это можно сделать на различных сервисах, например, whois7.ru. Помните, сайт, созданный пару недель назад, с высокой долей вероятности будет мошенническим. Однако сайт, созданный несколько лет назад, к сожалению, также не гарантирует порядочность своего владельца.

📍Анализируйте цены товара со скидкой. Очень часто недобросовестные продавцы завышают цены перед тем, как сделать скидки.

📍Внимательно проверяйте адрес сайта, на котором находитесь. Проверьте себя: Aliexpress.com и Aliexress.com — разные домены.

Если ваш бренд подделали и вы не знаете, как с этим быть - обращайтесь к нам, и мы поможем!  https://www.group-ib.ru/brandprotection.html

#блэкаут #Венесуэла #кибероружие

Блэкаут в Венесуэле привел к коллапсу: без света осталось 80% территории страны. Министр информации Венесуэлы Хорхе Родригес утверждает, что причиной масштабного сбоя стала кибератака с территории США на автоматическую систему контроля ГЭС "Гури", однако лидер оппозиции Хуан Гуайдо связал отключение электроэнергии с экономическими проблемами и неэффективным управлением отраслью.

Что стало причиной блэкаута должны выяснить технические специалисты — и эксперты Group-IB уже сейчас, если потребуется, готовы подключиться к расследованию. Одно ясно уже сейчас:  энергетический сектор находится в группе риска. Не случайно, еще в октябре прошлого года в отчете Hi-Tech Crime Trends'2018 наши эксперты предупреждали, что энергетические объекты останутся главной мишенью групп, нацеленных на саботаж и диверсии.

Одной из наиболее серьезных угроз для объектов критической инфраструктуры остается Industroyer или CRASHOVERRIDE, с помощью которого в декабре 2016 были выведены из строя объекты энергетической сети Украины. В 2017 году этот инструмент был подробно описан компанией #ESET, а его создание связали  с группой #BlackEnergy. Особенностью Industroyer является возможность удаленного управления remote terminal units (RTU), которые отвечают физическое размыкание/замыкание сети. Фактически речь идет о кибероружии, которое позволит киберармиям оставлять без света и воды целые города.

В условиях очередного витка “холодной войны”  или геополитических столкновений атаки правительственных киберармий происходят уже не с целью сбора разведданных, а для установления контроля над ресурсами политических оппонентов. Это значит, что целью кампаний все чаще будет не только шпионаж, но и получение доступа к критическим системам: уже сейчас количество атак на промышленные IT-системы растет на 20% ежегодно. Объекты критической инфраструктуры — атомные электростанции, плотины, аэропорты, магистральные сети  водоканалы, хладокомбинаты, транспортные объекты — становятся мишенью хакеров. Нужен будет только приказ, чтобы вывести их строя.

https://www.group-ib.ru/resources/threat-research/2018-report.html
Скачать отчет можно на сайте

#вебинар

Напоминаем, что уже завтра состоится авторский вебинар на тему «Взгляд криминалиста на защиту объектов критической инфраструктуры в 2019 году».

Вебинар начнется 13-го марта 2019 года в 11:00 (МСК), проведет его Веста Матвеева, ведущий специалист отдела расследований Group-IB.

Мы поделимся собственным взглядом на проблему защиты инфраструктуры на основании обширного опыта расследований компьютерных атак на объекты КИИ. Эксперт расскажет, от чего стоит защищаться сегодня и как не потерять контроль над собственной сетью при атаке.

Просьба регистрироваться только с корпоративной почты: https://attendee.gotowebinar.com/register/5694397505000637953?source=Telegram

#расследования #cybercrime #делаем
Это расследование началось с масштабного инцидента весной 2018 года, когда c помощью трояна Pony Formgrabber, предназначенного для кражи учетных записей, были заражены около 1 000 персональных компьютеров жителей России и других стран. Эта ботсеть просуществовала почти год — с осени 2017 года до августа 2018 года, все это время собирая с зараженных машин персональные данные и учетные записи — логины, пароли и тд.

И вот недавно сотрудники МВД при участии экспертов Group-IB задержали в Новокузнецке (Кемеровская область) администратора ботсетей, насчитывающих несколько тысяч зараженных компьютеров российских и зарубежных пользователей. Задержанный был «наемником», он предлагал киберкриминальным группам услуги по модели cybercrime -as-a-service: на арендованных серверах разворачивал, тестировал и обслуживал административные панели троянов, а также сам похищал учетные записи — логины и пароли, сохраненные в почтовых клиентах и браузерах, для последующей продажи на подпольных форумах. В настоящее время следствие выясняет, с какими из действующих преступных групп был связан задержанный.
https://www.group-ib.ru/media/bot-net-admin/