При расследовании инцидентов и вирусных атак для реконструкции событий, происходивших в компьютере пользователя, криминалисты часто используют различные виды таймлайна. Как правило, это огромный текстовый файл или таблица, в которых в хронологической последовательности содержится информация о событиях, происходивших в компьютере. Обработка носителей информации для подготовки таймлайна (например, с помощью Plaso) — это процесс, отнимающий много времени. Поэтому криминалисты сильно обрадовались, узнав, что в очередном обновлении Windows 10 появился новый функционал — Windows 10 Timeline. Однако, как оказалось, радость была преждевременна. Специально для читателей «Хабра» Игорь Михайлов, специалист Лаборатории компьютерной криминалистики Group-IB, рассказывает, какое отношение Windows 10 Timeline — новый вид артефактов Windows 10 — имеет к традиционным видам таймлайна и какие сведения в нем содержатся https://m.habr.com/ru/company/group-ib/blog/456652/

Вебинар Group-IB: "Анализ вредоносного ПО для начинающих: базовые подходы"
Работа вирусного аналитика требует глубоких знаний и обширного опыта, но существуют базовые методы анализа, доступные даже начинающим специалистам. Несмотря на свою простоту, такие методы эффективно работают и позволяют выявить существенную часть вредоносного программного обеспечения.
На вебинаре вы узнаете:
📌какие базовые подходы используются вирусными аналитиками для определения вредоносности файла;
📌как правильно провести статический анализ вредоносного файла;
📌как подготовить виртуальную среду для динамического анализа ВПО и провести его;
📌в чем плюсы и минусы обоих подходов и как выбрать оптимальный.
Регистрация доступна строго с корпоративной почты по ссылке

#gartner #securebank #secureportal #onlinefrauddetection

Технологии Group-IB по защите от онлайн-мошенничества в Интернет-банкинге и сервисах электронной коммерции получили признание Gartner
Хорошие новости: одна из ведущих мировых исследовательских и консалтинговых компаний — Gartner — включила решение Group-IB Secure Bank/Secure Portal в отчет Market Guide for Online Fraud Detection 2019, присвоив Group-IB статус надежного поставщика в категории «Решения по выявлению онлайн-мошенничества».

Сегодня решение Group-IB Secure Bank/Secure Portal уже успешно защищает более 70 миллионов клиентов крупнейших банков и онлайн-порталов в мире. Отмеченные Gartner продукты Group-IB позволяют клиентам — банкам и онлайн-сервисам — повысить точность детектирования мошеннической активности и скорость предотвращения фрода на всех устройствах пользователей в режиме реального времени.

Всего в отчете аналитического агентства Gartner были представлены 45 международных компаний, однако среди поставщиков продуктов категории Device Assessment/Endpoint Malware (Оценка устройства/Выявление вредоносной активности) компания Group-IB оказалась единственным поставщиком из России, предлагающим решения по защите от кросс-канального мошенничества в системах Интернет- и мобильного банкинга, а также в сервисах онлайн-торговли (eCommerce).  https://www.group-ib.ru/media/sbsp-gartner/

#CloudMid #индикаторы #шпионы

Group-IB опубликовала индикаторы атаки на медучреждения
Сегодня СМИ сообщили о том, что зафиксирована серия целевых атак на российские организации из сферы здравоохранения с помощью программы-шпиона CloudMid. Сообщается, что весной и в начале лета 2019 года были атакованы порядка 10 крупных государственных медицинских учреждений в южных регионах России. Аналитики Group-IB опубликовали индикаторы этой атаки, чтобы службы безопасности госучреждений могли проверить, не были ли они атакованы.

Давайте пройдемся по фактам:

📍Cистемa Group-IB Threat Intelligence зафиксировала активность CloudMid раньше: подготовка к атаке с использованием этого ВПО стартовала в январе 2019 года, а первый вредоносный файл собрали 1 февраля этого года. Тогда же он был загружен на публичные “песочницы”, в частности, на VirusTotal.
📍ВПО маскировалось под VPN-приложение якобы от российского интегратора —  компании “Информзащита” (разумеется, сама компания не имеет отношения к инциденту).
📍 CloudMid оказалась примитивным софтом, не использующим средств защиты от динамического анализа, например, обфускации. Она не заточена на поиск какой-то конкретной финансовой либо конфиденциальной информации и “пылесосит” абсолютно все доступные ей документы, исходя из типа файла (.doc/.docx, .pdf, .хlsх)
📍Пересылает документы в открытую, не используя шифрования.
📍Не обеспечивает персистентность, то есть нигде не закрепляется и не умеет работать в фоновом режиме - поиск файлов и их отправка происходит только пока открыто окно программы и прекращается, как только окно закрывается.
📍Оба вредоносных домена lnfosec[.]ru и cloud-mid[.]ru, с которыми связана CloudMid, были зарегистрированы в один день у одного регистратора в России.

#RedTeaming #APT #Habr

Когда дело доходит до кибербезопасности, то, как правило, ни одна организация не является на 100% защищенной. Есть множество услуг по проверке уровня защищенности: анализ безопасности систем и приложений, тестирование на проникновение, оценка осведомленности персонала в вопросах информационной безопасности и т.д. Однако из-за постоянного изменения ландшафта киберугроз, появления новых инструментов и преступных групп возникают новые типы рисков, которые трудно выявить с помощью традиционных способов анализа.

На этом фоне наиболее реалистичным и продвинутым подходом к тестированию безопасности, по нашему мнению, являются киберучения в формате Red Teaming — непрерывная оценка защищённости информационных систем, готовности специалистов по реагированию на инциденты и устойчивости инфраструктуры к новым видам атак, в том числе APT (Advanced Persistent Threat, сложная постоянная угроза, целевая кибератака). О том, как проходят киберучения в формате Red Teaming, рассказывает Вячеслав Васин (vas-v), ведущий аналитик департамента Аудита и Консалтинга Group-IB. https://habr.com/ru/company/group-ib/blog/460461/

📌Полную версию аналитического обзора о Red Teaming от Group-IB можно скачать здесь: https://www.group-ib.ru/whitepapers/redteaming.html.

#ThreatIntelligence #Sephora #leak

Эксперты Threat Intelligence Group-IB обнаружили крупную утечку данных клиентов  Sephora, сети парфюмерно-косметических магазинов (с 1997 году входит в французский холдинг Louis Vuitton Moet Hennessy (LVMH), сообщает сегодня The Straits Times, ведущая деловая газета Сингапура.  
1️⃣Первая база данных Sephora была выложена на двух хакерских форумах 6 и 17 июля — она содержит 500 000 записей, включая имена пользователей и хешированные пароли от Sephora.co.id (Индонезия) и Sephora.co.th (Тайланд).
2️⃣Вторая база данных, обнаруженная Group-IB Threat Intelligence на подпольном форуме 28 июля 2019 года, содержит 3,2 миллиона записей, утечка которой, предположительно, произошла в марте 2019 года.  
💻В утечках можно найти такие данные, как: логин, зашифрованный пароль, дата регистрации, дата последней активности, ip регистрация, последний ip, пол, имя, фамилия, этническая принадлежность, цвет глаз, цвет кожи, тип кожи, цвет волос, проблемы с волосами и т.д. Набор продается за $1900.
☝️Несмотря на то что записи не содержат никакой платежной информации или дешифрованных паролей, их можно использовать для проведения целенаправленных фишинговых атак с использованием техник социальной инженерии.

#BrandProtection #Lotsy

⚡️⚡️⚡️Команда Brand Protection Group-IB обнаружила Lotsy - группу траферов, нелегально использующих бренды международных компаний.

Ведущая газета Италии, La Repubblica со ссылкой на Group-IB собщает, что Lotsy действуют от имени десятков крупных европейских брендов, таких как AlItalia, Conad, Carrefour и Target, заманивая преимущественно итало- и испаноговорящих пользователей на токсичные сайты с целью монетизации рекламного трафика. В общей сложности эксперты Group-IB обнаружили 114 связанных между собой поддельных ресурсов, задействованных в мошеннической схеме Lotsy. Часть из них по-прежнему активны.

#BrandProtection #Lotsy

Как работает схема?
📍 Lotsy заманивают покупателей на web-ресурсы, замаскированные под сайты известных брендов, в том числе, супермакетов и ритейл-сетей, для прохождения опросов в обмен на подарки и призы.
📍После прохождения теста или опроса на странице, которая визуально копирует легитимный ресурс того или иного бренда и использует похожий домен, пользователь для получения подарка должен поделиться ссылкой со своими друзьями через Facebook или WhatsApp.
📍Далее для генерации трафика пользователей «пробрасывают» через  сторонние токсичные web-ресурсы, которые вместо обещанных подарков предлагали платные подписки и услуги или установку расширений для браузера. В худшем случае можно попасть на вредоносный ресурс.
📍Схема Lotsy включала в себя более 110 фальшивых сайтов, порядка 28 из них активны.

#BrandProtection #Lotsy

❗️Согласно данным Group-IB Brand Protection, группа начала свою деятельность летом 2017 года. Помимо использования схемы с лотереями и опросами, «почерк» мошенников также можно идентифицировать по дизайну фальшивых web-страниц. По данным Group-IB, за последние 2 года от Lotsy пострадали более 100 брендов.

❌Подобные схемы с редиректом на сторонние ресурсы  представляют опасность как для обычных пользователей, которых обманным путем могут заставить подписаться на ненужные платные услуги или в худшем случаем перенаправить на сайт с вредоносным ПО, так и для брендов, которые могут понести серьезный репутационный ущерб.

#BrandProtection #защитабренда #мошенничество

Рекламные видео с лицами знаменитостей: чем опасен очередной фейк

В последние пару дней в российских СМИ с подачи #ИнфосистемыДжет активно обсуждаются фейковые видео с лицами известных людей. Эксперты Group-IB #BrandProtection в рамках работ по защите персональных брендов знаменитостей и публичных персон нередко сталкиваются с подобными нарушениями.

Недавняя волна мошенничеств с видеомонтажом использует разного качества ролики с образами наиболее популярных селебрити. В частности, экспертами Group-IB Brand Protection были обнаружены и проанализированы (https://news.ru/tehnologii/group-ib-moshenniki-ispolzuyut-znamenitostej-radi-fishinga/) видео, использующие образы Егора Крида, Филиппа Киркорова, Михаила Галустяна, Ольги Бузовой и других звезд. Выявление этих видео зачастую непростая задача, так как такая реклама никак не связана с личностями или реальными аккаунтами знаменитостей.

Как работает «звездная» мошенническая схема?

Видео-фальшивки создаются с помощью монтажа или наложения лиц известных людей, которые якобы произносят необходимый текст и играют нужную роль в сюжете. Для этого, в том числе, может использоваться #deepfake, технология, основанная на Deep Learning. Она позволяет заменить движения губ и речь человека на видео, что создает ощущение реалистичности происходящего.

Фейковые знаменитости "предлагают" пользователям поучаствовать в розыгрыше ценных призов (смартфонов, автомобилей, денежных сумм) и т.д. Ссылки из таких видео-публикаций часто ведут на мошеннические и фишинговые сайты, где пользователей просят ввести личные данные, включая данные банковских карт.

Чем опасны видео-фейки?

Подобные схемы представляют собой угрозу как для обычных пользователей, так и для публичных лиц, которые упоминаются в рекламных роликах. Из-за махинаций такого рода образы знаменитостей начинают ассоциироваться с мошенничеством или рекламируемыми товарами, и здесь мы сталкиваемся с ущербом личному бренду.

👉 Для того, чтобы не допустить подобного, требуется комплекс мер, направленных на обнаружение, отслеживание и блокировку этих ресурсов.

В активе Group-IB есть ряд таких кейсов. Так, недавно с проблемой неправомерного использования бренда столкнулась Эвелина Хромченко. С помощью экспертов команды Brand Protection, удалось заблокировать более 90% ресурсов, неправомерно использующих ее персональный бренд.

Ознакомиться с историей успеха можно на сайте: https://www.group-ib.ru/brandprotection.html

#SecureBank #TeamViewer #мошенничество

⚠️Group-IB предупреждает о новой схеме мошенничества с использованием приложения удаленного доступа

РБК со ссылкой на Group-IB рассказывает о новом способе мошенничества с использованием приложения удаленного доступа TeamViewer.
▪️Волна махинаций с применением TeamViewer была зафиксирована Group-IB весной. Новый всплеск атак был зарегистрирован в июле.
▪️С помощью данной схемы мошенники могут похищать у клиентов крупных банков в среднем от 6 млн до 10 млн руб. в месяц.
▪️Поскольку клиент сам санкционирует установку ПО, такое мошенничество сложно детектировать без использования решений, основанных на алгоритмах поведенческого анализа.