​WhatsApp на ладони: где и как можно обнаружить криминалистические артефакты?

Этой статьей специалист Лаборатории компьютерной криминалистики Group-IB Игорь Михайлов открывает серию из четырех публикаций о криминалистическом исследовании WhatsApp и о том, какие сведения можно получить при анализе устройства, и где именно они могут быть обнаружены.

В следующих статьях этой серии:

📌Расшифровка зашифрованных баз WhatsApp
Статья, в которой говорится о том, каким образом происходит генерация ключа шифрования WhatsApp, и даны практические примеры, показывающие, как произвести расшифровку зашифрованных баз этого приложения.

📌Извлечение данных WhatsApp из облачных хранилищ
Статья, в которой мы расскажем, какие данные WhatsApp хранятся в облаках, и опишем методы извлечения этих данных из облачных хранилищ.

📌 Извлечение данных WhatsApp: практические примеры
Статья, в которой будет пошагово описано, какими программами и как произвести извлечение данных WhatsApp из различных устройств.

Следите за нашими анонсами.

https://habr.com/ru/company/group-ib/blog/447592/

​📝Почти треть водки, проверенной в 2018 году  Росалкогольрегулированием, находилась в нелегальном обороте, сообщает РБК со ссылкой на само ведомство.
С января по декабрь эксперты проверили 118 тыс. декалитров (дал) водки и 36,3 тыс. дал (30,8%) из них оказались в нелегальном обороте.

🍷Напомним, что в конце декабря Group-IB выпустила исследование, в котором оценила оборот нелегальной онлайн-продажи алкоголя в 2018 году в 2,1 млрд рублей. Это на 23%, или почти на 400 млн руб. больше, чем годом ранее.  «Алкогольные короли» теневого рынка искали новые способы выживания: например, создавали целые сети из «зеркал» своих алкомагазинов и в случае блокировки одного сайта они оперативно переезжали на запасной ресурс.  Кроме подделок известных брендов,  в интернете, можно приобрести целые линии по розливу водки, виски или коньяка, говорилось в нашем отчете.

​Вебинар Group-IB: «Новый взгляд на Threat Hunting: о технологиях выявления инфраструктуры атакующих»

Открыта регистрация на вебинар Антона Фишмана, руководителя департамента системных решений Group-IB — «Новый взгляд на Threat Hunting: о технологиях выявления инфраструктуры атакующих».

В этом квартале клиентам Group-IB Threat Intelligence стал доступен новый аналитический инструмент, позволяющий выявлять связанную сетевую инфраструктуру на основе графового анализа. Разработанная изначально для внутреннего использования, система заточена на решение актуальных задач информационной безопасности.

Система строит связи по большому массиву данных: ежедневно сканируемому диапазону IPv4-адресов, регистрационным данным доменов, SSL-сертификатам, SSH-ключам, отпечаткам сервисов и т.д.

На вебинаре вы узнаете, как графы помогают:

📌находить дополнительные индикаторы;
📌коррелировать детекты;
📌выявлять фишинг;
📌находить бэкенды;
📌осуществлять ThreatHunting.

Напоминаем, что вебинар начнется 30 апреля 2019 года в 11:00 по МСК.  Просьба регистрироваться только с корпоративной почты. Ссылка на регистрацию тут

​Знакомство со снифферами-2: G-Analytics

В прошлый раз в нашем блоге мы анализировали семейство снифферов ReactGet, теперь настала очередь семейства G-Analytics.  Чем они интересны?
📝Появились в 2016 году — самое первое доменное имя, используемое преступной группой было зарегистрировано в апреле 2016 года.
📝 Атаковали онлайн-магазины, работающие под управлением CMS Magento.
📝 Украденные данные банковских карт преступники продавали на специально созданном кардшопе.
📝Злодеи использовали доменные имена, имитирующие реально существующие сервисы, такие как Google Analytics и jQuery, маскируя активность снифферов легитимными скриптами и похожими на легитимные доменными именами.
Но наш аналитик Threat Intelligence Виктор Окороков их все равно обнаружил и исследовал. Подробности тут: https://www.group-ib.ru/blog/g-analytics

Специалист, остановивший WannaCry, признался в создании других вредоносных программ

Как пишут в задачниках: ЧТД. Маркус Хатчинс, британский ИБ-специалист, известный также под псевдонимом MalwareTech, признал свою вину по двум пунктам обвинения — в создании и распространении вредоносных программ. Летом 2017 года, когда Хатчинса арестовали, мы писали, что его история похожа на древнегреческую трагедию и сюжет сериала «Mr. Robot» одновременно: спаситель мира от шифровальщика WannaCry сам оказался вирусописателем. Напомним и другой интересный факт: Group-IB сталкивалась с банковским трояном Kronos еще в 2014 и 2015 годах — тогда мы предупреждали подписчиков Threat Intelligence о старте продаж трояна на хакерских форумах и атаках на клиентов банков. Освежим в памяти: https://www.group-ib.ru/blog/kronos

Илья Сачков и Group-IB неоднократно становились героями проектов Елизаветы Осетинской — вот тут или тут. Ценим. Смотрим. Читаем 👍 И сегодня хотим рассказать про «Русские норм!» — серию видеоинтервью с успешными людьми из России.

Русские покоряют мир, работают в самых передовых компаниях, придумывают крутые технологические продукты, строят миллиардные бизнесы. Это не только Сергей Брин из Гугла, но и сотни других людей.

Русские — молодые, дерзкие, талантливые, и, что важно, не лучше и не хуже других. Да, прежде чем добиться успеха, всем пришлось пройти через серьезные испытания, отказаться от стереотипов, победить многие предубеждения. Но русские — норм, и убедиться в этом вы можете сами. Подписывайтесь на канал: https://www.youtube.com/c/RussiansAreOkay?sub_confirmation=1

​Блиц-опрос от #Forbes:
- Как вы предпочитаете получать новые знания?
- Как относитесь к вопросу передачи наследства?
- Что вас вдохновляет?
На вопросы отвечают Владимир Познер, Михаил Гуцериев, Леонид Богуславский, Тина Канделаки и Илья Сачков. #Forbes15
https://www.youtube.com/watch?v=puhF67Y4EBs&feature=youtu.be

​Джоэл Ортиз — первый киберпреступник в США, который получил десять лет тюрьмы за «угон» SIM-карт и кражу криптовалюты на сумму $5 млн у 40 потерпевших. Схема работала так: сначала злоумышленник собирал полную информацию о жертвах, запуская фишинговую кампанию или скупая данные на хакерских форумах. Затем мошенник, выдавая себя за другого человека, просил оператора сотовой связи  перевыпустить SIM-карту. Получив новую SIM-карту, он мог уже использовать мобильную учетную запись жертвы, перехватывать или инициировать вызовы, получать доступ к SMS-сообщениям — включая коды авторизации, отправленные банком и криптовалютными сервисами.
Подробности, как мошенники крадут деньги и уводят аккаунты блогеров с помощью перевыпуска SIM-карты, а также рекомендации экспертов Group-IB по защите своих цифровых активов  — в спецпроекте VC. https://vc.ru/s/group-ib/63983-vishing

​“Мы видим, как преступная группа #Silence сместила свое внимание с СНГ и соседних стран на международные рынки”, — цитирует Bankinfosecurity Рустама Миркасымова, руководителя отдела динамического анализа вредоносного кода, эксперта по киберразведке Group-IB. По данным Threat Intelligence Group-IB, последние кампании Silence были нацелены на банки и финансовые организации в Великобритании, Индии и Южной Корее. Азия особенно привлекает внимание киберпреступников: Group-IB знает, по крайней мере, об одной успешной атаке в Азии.

Silence -  небольшая, хотя и очень активная группа русскоязычных киберпреступников. При этом она является одной из самых опасных угроз для международных банков и финансовых организаций. Group-IB впервые обнаружила деятельность группы в 2016 году, а в сентябре 2018 года исследователи Group-IB выпустили первый отчет “Silence: Moving into the darkside”, в котором описаны инструменты, техники и схемы работы хакеров.

https://www.bankinfosecurity.com/silence-cybercrime-gang-targets-banks-in-more-regions-a-12404

#StartupVillage2019: Илья Сачков в деле  
#StartupVillage2019: Илья Сачков в деле  
Присоединяйтесь 29 — 30 мая к Startup Village, ежегодной конференции для технологических предпринимателей, на которой стартапы встречаются с инвесторами, перенимают лучший опыт и знания и презентуют свои проекты.

📌Тема этого года — «Digital Rock Stars». Это спикеры, лучшие из лучших в мире инноваций. Дерзкие, решительные, передовые. Именно они соберутся в Инновационном центре «Сколково», чтобы поделиться секретами успеха и вдохновить участников на гениальные свершения. Все подробности здесь:

https://startupvillage.ru/

​Сегодня RSpectr подводит итоги пятой пятилетки — шутка ли Рунету уже 25!💻

Эксперты из интернет-индустрии, в том числе и Андрей Бусаргин, руководитель департамента инновационной защиты бренда и интеллектуальной собственности Group-IB, назвали главные достижения и негативные тенденции в Рунете:

➕ 📝 Самое позитивное, что за последние годы случилось в Рунете, – это принятие антипиратских законов. Они создали мощную законодательную базу для борьбы с онлайн-пиратством в виде «вечной» блокировки пиратских веб-сайтов и их «зеркал». Еще один титанический позитивный сдвиг – подписание в ноябре 2018-го антипиратского меморандума с участием «Яндекса», Mail.Ru, Rambler, «Первый канал», ВГТРК, «СТС Медиа» и других.

➖ 📝 Ужесточение законодательства имеет и оборотную сторону: из-за «вечных» блокировок доменов ушли в тень самые известные пиратские сайты, которые ранее сотрудничали с правообладателями. Раньше некоторые пираты сами удаляли контент по просьбе правообладателей (шли на сотрудничество), потому что боялись, что их заблокируют в России. После вступления в силу антипиратских законов этот «кнут» перестал действовать: пиратские сайты заблокировали в РФ, но они все еще работают для тех, кто пользуется разными способами обходами блокировок. Так что мотив сотрудничать с правообладателями у них исчез.

❗📝Мой прогноз: преступность полностью уйдет в «цифру», в интернет. Она будет еще более быстрой, скрытной и трансграничной. В России сегодня создано быстрое и удобное законодательство для борьбы с пиратством. Нужно только уметь эффективно пользоваться этим инструментом. Следующим шагом, который, как мы полагаем, в ближайшее время сделает государство, станет удар по теневой экономике пиратства, а именно:

📌преследование пиратов за незаконное предпринимательство;
📌блокировка транзакций, связанных с пиратским бизнесом;
📌минимизация партнерских программ, предполагающих сотрудничество с пиратами;
📌фильтрация сайтов-партнеров со стороны рекламных сетей;
📌вытеснение прямых рекламодателей с рынка («Вулкан» и другие казино).

Подробности: https://rspectr.com/articles/509/itogi-pyatoj-pyatiletki-runeta

​📝Время блогов. На Хабре Олег Скулкин, ведущий специалист Group-IB по компьютерной криминалистике — подробно рассказывает о том, как провести криминалистическое исследование компьютера, зараженного банковским трояном RTM в рамках реагирования на инцидент. В комментариях — можете задать вопросы эксперту. https://habr.com/ru/company/group-ib/blog/449100/

📝А в нашем корпоративном блоге — третья часть эпопеи о JavaScript-снифферах. В двух прошлых публикациях мы анализировали семейства ReactGet и G-Analytics, а теперь вот Виктор Окороков, аналитик Threat Intelligence Group-IB, добрался до семейства снифферов Illum. https://www.group-ib.ru/blog/illum

​Любите ли вы стартапы-единороги так, как любит их @TheEdinorogBlog🦄?

Этот канал ведет журналист, бывший редактор Forbes. И он с хорошей долей сарказма пишет про венчурный рынок, IT-стартапы, собирает лайфхаки для предпринимателей, их истории успеха и, конечно, провала. Если вы еще не читаете The Edinorog — рекомендуем подписаться.

Вступайте в клуб «маленьких любителей единорогов», и ваши шансы вырастить собственный стартап-единорог точно повысятся! https://t.me/Theedinorogblog

​Выложил скан паспорт в соцсеть, а на тебя сразу повесили кредит — будешь выплачивать его всю жизнь. так разве бывает? При каких обстоятельствах чужой паспорт становится сокровищем для мошенников и как уберечься от нежданных займов рассказывает «Газета.Ru» и Сергей Никитин, замруководителя Лаборатории компьютерной криминалистики Group-IB:

📌Выдавая кредит, банки тщательно проверяют заемщика по различным базам данных и, так называемым, стоп-листам. Лично я не встречал онлайн-выдачу кредитов у серьезных банков.  Предварительная проверка и одобрение онлайн, конечно, возможна, но в дальнейшем к заемщику все равно приезжает за бумагами  курьер от банка или клиенту необходимо самому приехать в отделение подписать бумаги.

📌Уровень контроля заметно ниже в микрофинансовых организациях, которые очень быстро выдают небольшие суммы с минимальным набором документов. В этом случае есть возможность получить кредит по чужому паспорту, если его владелец не находится в стоп-листе или потерял паспорт, но не заявил о его потере.

📌Совет, как избежать «левых» кредитов и мошенничеств с ними связанных, довольно простой: внимательно относится к оформлению финансовых и банковских документов, не оставлять на подозрительных сайтах личную информацию, данные банковских карт и тд.

📌 Частично с этой проблемой может помочь справиться введение электронных паспортов,  которые заменят ИНН, СНИЛС, паспорт, водительское удостоверение и СТС, а заодно еще и обладает функциональностью платежной банковской карты.

📌 В любом случае, если человеку обещают солидный кредит онлайн с минимальными документами, необходимо насторожиться, поскольку велики риски наткнуться на мошенников, которые сами похищают персональную информацию или деньги (например, за оформление документов или некий “налоговый вычет”).  

Подробности темы - в Газете.ру https://www.gazeta.ru/business/2019/04/25/12107383.shtml

Первый канал привлёк Group-IB для проверки результатов голосования шоу «Голос.Дети»

Первый канал объявил о решении начать собственное расследование в отношении ситуации, сложившейся вокруг финала шоу «Голос.Дети». Для инициированной Первым каналом проверки результатов голосования привлечена международная компания Group-IB, специализирующаяся на предотвращении кибератак и проведении сложных цифровых расследований.

Эксперты Group-IB проведут независимое расследование, в ходе которого будет оценена информационная безопасность системы подсчета голосов, а также проведен технико-криминалистический анализ звонков и СМС на предмет возможной накрутки голосов, использования ботов и других технологических приемов недобросовестной конкуренции между участниками.

Подробности: https://www.group-ib.ru/media/golos/

Илья Сачков, CEO и основатель Group-IB:
Вокруг истории с нашим расследованием результатов голосования шоу "Голос. Дети" ситуация накалена до предела, не верьте всему подряд, думайте головой.
А теперь официально:
Первый канал и Group-IB просят воздержаться от выводов, основанных на сомнительных источниках. Компания "СМС-сервисы" не делала никаких заявлений о завершении расследования и участвует в нем как объект проверки. На данный момент, любая информация о завершении расследования недостоверна. Срок обнародования итоговых результатов прежний - конец месяца.
Совсем скоро мы опубликуем результаты первого этапа проверки. Никакие иные "источники" кроме Первого канала и Group-IB не обладают информацией о ходе расследования.
Спасибо всем!
#делаем #1tv