Более 80% компаний подверглись социоинженерным атакам в 2018 году. Отсутствие отработанной методики обучения персонала и регулярной проверки его готовности к противодействию социальной инженерии приводят к тому, что сотрудники все чаще становятся жертвами злоумышленников.
На вебинаре Group-IB вы узнаете об основных направлениях социоинженерных атак, как распознать признаки социальной инженерии и защититься от нее,  услышите реальные кейсы Group-IB по имитации социоинженерных атак на персонал.
Регистрация строго с корпоративной почты: https://attendee.gotowebinar.com/register/3223975200123258882?source=Telegram

А вот и наш старый знакомый опять активизировался — Group-IB зафиксировала новые масштабные атаки вируса-шифровальщика Troldesh (Shade) на российские компании. Злоумышленники отправляют письма от имени сотрудников крупных авиакомпаний, автодилеров и СМИ. Только в июне Group-IB обнаружила более 1100 фишинговых писем, содержащих Troldesh, всего же во втором квартале 2019 года их количество превысило 6 000. На данный момент кампания по рассылке вируса-вымогателя активна. Подробности тут

Troldesh, конечно, вирус старый — эксперты Group-IB зафиксировали еще в 2015 году, но он постоянно выкидывает какие-нибудь фортели.
💥В последних кампаниях Troldesh  не только шифрует файлы, но еще майнит криптовалюту и генерирует трафик на веб-сайты для увеличения посещаемости и доходов от онлайн-рекламы.
💥Письма, содержащие Troldesh, в последнее время отправляются якобы с почтовых ящиков авиакомпаний (например, «Полярные авиалинии»), автодилеров («Рольф») и от СМИ (РБК, Новосибирск-online).  Важный момент:  адреса отправителей всех писем подделаны и не имеют к реальным компаниям никакого отношения.
💥В рассылке задействована довольно масштабная инфраструктура, включающая, помимо серверов, зараженные IoT-устройства, например, роутеры.
💥Масштаб атак с использованием Troldesh растет: только в июне Group-IB обнаружила более 1100 фишинговых писем, содержащих Troldesh, всего же во втором квартале 2019 года их количество превысило 6 000.

#tds #технологиизащиты

К теме сегодняшней новости по атакам #Troldesh. Почему шифровальщики и такие «многостаночники», как Troldesh, до сих пор представляют угрозу для корпоративной инфраструктуры?

Все просто: несмотря на широкое распространение антивирусных средств, зачастую они оказываются бессильны перед целевыми атаками хакерских групп, эпидемиями вирусов-шифровальщиков, атаками на платежную инфраструктуру с использованием методов социальной инженерии, нелегитимным использованием ресурсов компаний для криптомайнинга и др.
Узнаете почерк?

🔻Основную роль в выявлении угроз, относящихся к категории «нулевого дня» (т.е. ранее неизвестных) играют продукты класса Anti-APT (англ. AdvancedPersistent Threat — «развитая устойчивая угроза», целевая кибератака), позволяющие проводить многосторонний анализ вредоносных файлов в, так называемой, «песочнице» – изолированной от основной сети компании среде. К таким продуктам относится Group-IB Threat Detection System. Если вы задумались о защите - закажите демо бесплатно.
https://www.group-ib.ru/tds.html

Только вчера мы рассказывали о новой масштабной атаке на российские компании вируса-шифровальщика  #Troldesh(Shade), а сегодня Олег Скулкин, ведущий специалист по компьютерной криминалистике Group-IB, подготовил пост о том, какие криминалистические артефакты можно найти после атаки этого криптолокера на носителе информации скомпрометированного устройства, а также сопоставил используемые атакующими тактики и техники с «MITRE ATT&CK».  #Troldesh #Shade #Habr #киберкриминалистика https://habr.com/ru/company/group-ib/blog/457592/

Подробнее на Хабре: https://habr.com/ru/company/group-ib/blog/457592/

Вебинар Group-IB: "Анализ вредоносного ПО для начинающих: базовые подходы"
Работа вирусного аналитика требует глубоких знаний и обширного опыта, но существуют базовые методы анализа, доступные даже начинающим специалистам. Несмотря на свою простоту, такие методы эффективно работают и позволяют выявить существенную часть вредоносного программного обеспечения.
На вебинаре вы узнаете:
📌какие базовые подходы используются вирусными аналитиками для определения вредоносности файла;
📌как правильно провести статический анализ вредоносного файла;
📌как подготовить виртуальную среду для динамического анализа ВПО и провести его;
📌в чем плюсы и минусы обоих подходов и как выбрать оптимальный.
Регистрация доступна строго с корпоративной почты по ссылке

#Silence #хакеры #APT

Русскоязычные хакеры могут быть причастны к краже из бангладешского банка. Об этом сегодня заявили в  Group-IB

Русскоязычная группировка хакеров Silence была причастна к хищению как минимум 3 миллионов долларов в банкоматах бангладешского Dutch Bangla Bank.
Group-IB следит за действиями русскоязычной группировки хакеров Silence с 2016 года.

В декабре и в начале текущего года Group-IB сообщала о массовых фишинговых атаках в отношении финансовых учреждений РФ. По данным экспертов, атаки осуществляла Silence: "Group-IB установила, что русскоязычная киберпреступная группа Silence, вероятно, стоит за нападением на банкоматы Dutch Bangla Bank, в результате которого было похищено примерно 3 миллиона долларов. Фактическая сумма украденных средств может быть намного выше. Это одна из последних международных атак Silence, которая указывает на то, что группа расширила свою географию и стала глобальной, сосредоточившись сейчас на странах азиатско-тихоокеанского региона (APAC)", - говорится в сегодняшнем сообщении.

По мнению экспертов, Dutch Bangla Bank - не первая жертва группировки Silence в регионе. В общей сложности известно, по крайней мере, о четырех атаках группы в Азии, указывают они.
По мнению Group-IB, для атаки на бангладешский банк вероятнее всего использовались трояны Silence.Downloader (также известный как TrueBot), Silence.MainModule, который позволяет скрытно выполнять удаленные команды и загружать файлы со скомпрометированного сервера, а также Silence.ProxyBot, который позволяет злоумышленнику перенаправлять трафик со скрытого узла на сервер через скомпрометированный ПК.

Как только Silence получила доступ к банковской инфраструктуре, она перешла к следующему этапу атаки - снятию денежных средств. Деньги могли быть похищены двумя способами: хакеры могли либо скомпрометировать банковскую систему обработки карт, либо использовать специальное программное обеспечение Atmosphere для банкоматов, считают в Group-IB.
https://www.bleepingcomputer.com/news/security/silence-group-likely-behind-recent-3m-bangladesh-bank-heist/

#фишинг #впо #CERT #кибербезопасность

CERT-GIB: Рунет стал чище

Центр реагирования на инциденты кибербезопасности CERT-GIB сообщает, что российская доменная зона, по итогам 2018 года достигла рекордных показателей по снижению объема токсичных сайтов.

При росте в 2018 году числа потенциально опасных ресурсов, содержащих фишинг или вредоносное программное обеспечение (ВПО), на долю Рунета пришлось менее 20% таких сайтов, тогда как в 2017 доля токсичных ресурсов в зоне РУ составляла почти 50% среди всех заблокированных специалистами CERT-GIB.

Кроме того, специалисты отмечают, что фишинг становится более дешевым и изощренным, но злоумышленники постепенно уходят из РУ. Пользователи по-прежнему открывают вредоносные exe-файлы, а HTTPS больше не синоним безопасности.

https://www.group-ib.ru/media/cert-runet/

#CERT #впо #кибербезопасность

Несмотря на рост  количества опасных веб-сайтов, содержащих фишинг или вредоносное ПО, обнаруженных и заблокированных CERT-GIB (c 4264 веб-сайтов в 2017 до 6217 в 2018 году), использование доменов в зоне РУ стало менее привлекательным для злоумышленников: количество опасных доменов, заблокированных CERT-GIB в Рунете, уменьшилось на 40% по сравнению с 2017 годом.

Злоумышленники все чаще отдают предпочтение зоне .com: количество токсичных ресурсов там увеличилось почти в 3 раза в 2018 году. Также злоумышленники стали чаще выбирать новые домены верхнего уровня «New gTLD» (.online; .website; .space и т.д.).

Общее количество фишинговых ресурсов, располагающихся в различных доменных зонах, включая РУ, выявленных и заблокированных CERT-GIB в 2018 году, увеличилось на 44% по сравнению с 2017 годом. Каждый квартал, в среднем, рост составлял 15%. Так, 2018 году в рамках работы CERT-GIB была приостановлена деятельность 4494 сайтов, использующихся в целях фишинга.

Помните, нас всех учили: "HTTPS - значит безопасно"? Уже нет. По данным CERT-GIB, соотношение фишинговых ресурсов, использующих безопасное соединение (SSL/TLS) к общему количеству фишинговых сайтов показывает, что злоумышленники все чаще эксплуатируют ложное чувство защищенности у пользователей, делающих ставку на HTTPS. Статистика показывает, что в 4 квартале 2018 года почти половина всех фишинговых ресурсов использует именно «безопасное соединение».

В 2018 году в подавляющем большинстве случаев (82%) злоумышленники предпочитали доставлять ВПО во вложении к письму. Количество фактов использования URL-ссылок в письмах, ведущих на загрузку вредоносного ПО, в 2018 году увеличилось не значительно — на 10%.

Любимым форматом упаковки ВПО в 2018 году у злоумышленников стали архивы. На протяжении всего 2018 года в архивах доставлялось больше половины всех вредоносных объектов. Наибольшей популярностью пользовались ZIP-архивы, для распаковки которых, как правило, не требуется отдельное ПО. На них приходилось 20% всех вредоносных файлов, проанализированных в рамках работы CERT-GIB.

Количество ресурсов, распространяющих или управляющих вредоносным ПО в российской зоне в 2018 году также сократилось на 44% по сравнению с 2017 годом. Общее же количество таких ресурсов, выявленных и заблокированных CERT-GIB, осталось на уровне 2017 года – 1736 веб-ресурсов в 2017 и 1723 сайта в 2018 году соответственно.

#CERT

А теперь пара слов о нашем CERT-GIB и почему он так много знает:)

Напомним, что Центр круглосуточного реагирования на инциденты информационной безопасности CERT-GIB — первый частный CERT в России, открытый в 2011 году. CERT-GIB остается одним из крупнейших в Восточной Европе. На базе CERT-GIB развернут Security Operation Center (SOC), специалисты которого отрабатывают события кибербезопасности в российских и международных компаниях, использующих различные системы защиты, в том числе, систему обнаружения целевых атак Threat Detection System (TDS), систему мониторинга, анализа и прогнозирования киберугроз Threat Intelligence и других.

📍CERT-GIB обеспечивает круглосуточную поддержку реагирования на инциденты информационной безопасности, при необходимости высылая на место инцидента мобильную бригаду для контроля необходимых процедур и сбора цифровых доказательств.

📍CERT-GIB обладает полномочиями, необходимыми для оперативной блокировки сайтов, распространяющих вредоносное ПО, а также фишинговых и мошеннических ресурсов в доменах .RU, .РФ и ещё более чем в 2500 доменных зонах.

📍CERT-GIB является аккредитованным членом международного профессионального объединения Trusted Introducer и входит в крупнейшее сообщество команд реагирования FIRST, что позволяет обмениваться информацией с CERT-командами в более чем 100 странах и блокировать опасные сайты по всему миру.

#ThreatIntelligence
Дмитрий Волков, CTO Group-IB: «Киберразведка всегда работает на опережение»
Пятнадцать лет назад две американские компании, iSIGHT Partners и iDefense, занимавшиеся сбором и анализом информации о методах и инструментах, используемых хакерским сообществом, стали продавать свои услуги как Threat Intelligence (киберразведка). 😎
Сервис стал востребованным, поскольку помогал оказывать реальное противодействие кибератакам еще на этапе их подготовки. Направление киберразведки начали развивать ИБ-компании в других странах мира. В России киберразведка, как бизнес, начала формироваться в 2012 году. Первым поставщиком услуг киберразведки в России стала компания Group-IB. Она же первой вошла в отчет Gartner, а затем была признана одним из лучших мировых поставщиков TI-услуг по версии IDC и Forrester. Главой направления киберразведки с момента основания компании был Дмитрий Волков. Сейчас он является CTO Group-IB, однако по-прежнему руководит командой киберразведчиков, с которой все начиналось. Tadviser поговорил с Дмитрием о том, какие задачи решает киберразведка для бизнеса и кто пользуется это услугой в России и на международных рынках.