💥От таких новостей волосы встают дыбом, а рука тянется к смартфону. Сегодня расскажем, как злоумышленники могут читать вашу переписку в Telegram. И хотя расследование еще продолжается, мы приняли решение оперативно проинформировать об угрозе команду мессенджера и всех пользователей.

🔻 Что случилось?
1. Отдел расследований киберпреступлений и Лаборатория компьютерной криминалистики Group-IB сообщают о десятке инцидентов, связанных с получением нелегального доступа к содержимому переписки в Telegram.
2. Все пострадавшие — предприниматели.
3. Были атакованы как устройства iOS, так и Android у клиентов разных операторов сотовой связи.
4. Исследованные нами устройства не были заражены шпионской вредоносной программой или банковским трояном, учетные записи не взломаны, подмены SIM-карты произведено не было. Во всех случаях злоумышленники получали доступ к мессенджеру жертвы с помощью СМС-кодов, получаемых при входе в аккаунт с нового устройства.
5. Во всех случаях на устройствах пострадавших единственным фактором аутентификации были СМС. И это плохо, так как ставит под сомнение использование СМС как надежного фактора в системе двухфакторной аутентификации.
6. Опасность в том, что таким образом атакующие могут получить доступ и к другим мессенджерам, социальным сетям, электронной почте, различным сервисам или приложениям мобильного банкинга, где для аутентификации используются только СМС.

🔻Как защититься?
1. В Telegram уже реализованы все необходимые опции кибербезопасности, которые сведут усилия атакующих на нет.  
2. На устройствах iOS и Android для Telegram необходимо перейти в настройки Telegram, выбрать вкладку «Конфиденциальность» и назначить «Облачный пароль\Двухшаговую проверку» или «Two step verification». Детальное описание по включению этой опции дано в инструкции на официальном сайте мессенджера: https://telegram.org/blog/sessions-and-2-step-verification
3. Важно не устанавливать адрес электронной почты для восстановления этого пароля, поскольку, как правило, восстановление пароля к электронной почте тоже происходит через СМС. Аналогичным образом можно повысить защиту аккаунта в WhatsApp.

🔻Как происходит атака?
Если кратко: на устройстве пользователя внезапно появляется сообщение от сервисного канала Telegram (это официальный канал мессенджера с синей галочкой верификации) с кодом подтверждения, который пользователь не запрашивал. После этого на смартфон жертвы падает СМС с кодом активации — и практически сразу же в сервисный канал Telegram приходит уведомление о том, что в аккаунт был произведен вход с нового устройства.
Сессию можно и нужно остановить. И если на телефоне не было двухфакторки - срочно установить ее. Но увы за время работы левой сессии - вся переписка и файлы выкачиваются. Делается это скриптом, поэтому все происходит быстро.

🔻Как злодеи получают доступ к смс?
Теоретически возможны такие варианты: атаки на протоколы SS7 или Diameter, нелегальное использование специальных технических средств, инсайд у операторов.

👉Как злоумышленники могут читать вашу переписку в Telegram? Почему это происходит и как им в этом помешать? В новом видео об этом подробно рассказывает Сергей Никитин, заместитель Лаборатории компьютерной криминалистики Group-IB.  https://www.youtube.com/watch?v=wcqVbmB_aQo

✅Открыта регистрация на вебинар Group-IB: «Проактивный хантинг и реагирование на киберугрозы».
👉Уже более 16 лет эксперты Group-IB расследуют и предотвращают киберинциденты, анализируя инструменты и инфраструктуру атакующих. Каждая новая кибератака, направленная на компанию или объект критической инфраструктуры, дает нам возможность увидеть эволюцию тактик и инструментов.
Во время вебинара ведущий ответит на следующие вопросы:
📌 Как защитить свою инфраструктуру от целенаправленных атак?
📌 Как провести активный и проактивный поведенческий анализ?
📌 Какой первый шаг в построении вашего собственного центра мониторинга и реагирования на инциденты?
👉Регистрация доступна строго с корпоративной почты по ссылке: https://go.group-ib.com/webinar-proactive-hunting-registration?utm_source=telegram&utm_medium=article&utm_campaign=telegram

👉А мы продолжаем серию статей, посвященных анализу вредоносного программного обеспечения. В первой части мы рассказывали, как Илья Померанцев, специалист по анализу вредоносного кода CERT Group-IB, провел детальный анализ подозрительного файла, полученного по почте одной из европейских компаний, и обнаружил там шпионскую программу AgentTesla. В этой статье Илья приводит результаты поэтапного анализа основного модуля.

📌Agent Tesla — это модульное программное обеспечение для шпионажа, распространяемое по модели malware-as-a-service под видом легального кейлоггер-продукта. Основная опасность AgentTesla как DataStealer в том, что ему не нужно производить закрепление в системе или ожидать получения управляющей команды. Попадая на машину, он немедленно начинает сбор приватной информации и передает на сервер злоумышленникам учетные данные пользователя из браузеров, почтовых клиентов и клиентов FTP. https://habr.com/ru/company/group-ib/blog/479120/

👉В третьей статье этого цикла мы рассмотрим другие загрузчики, используемые AgentTesla, а также изучим процесс их полуавтоматической распаковки. Не пропустите!

#HiTechCrimeTrends
👉 На 38% выросло общее количество скомпрометированных банковских карт в мире за период H2 2018 — H1 2019, говорится в отчете Hi-Tech Crime Trends 2019-2020

Другие интересные тенденции:
📌Дампы (копия информации магнитной полосы) по-прежнему составляют основную долю рынка кардинга, их количество в продаже выросло на 46%. Продажа текстовых данных (номер, CVV, срок  действия) тоже на подъёме, их рост составил 19%.
         
📌Самые массовые утечки данных банковских карт связаны с компрометацией ритейла в США. По количеству скомпрометированных карт США занимает первое место с большим отрывом — 93%.
         
📌Страны Ближнего Востока (Кувейт, Пакистан, ОАЭ, Катар) занимают следующие позиции антирейтинга, суммарно на них приходится 2.38%. Предположительно, причиной роста количества скомпрометированных карт в этом регионе стали атаки группы Lazarus в конце 2018 и начале 2019 года.
       
📌Одной из точек роста объема текстовых данных стали JS- снифферы. В этом году эксперты Group-IB выявили как минимум 38 разных семейств JS-снифферов, и их количество превышает число банковских троянов.
         
📌В случаях с компрометацией с помощью JS-снифферов первую позицию также занимает США, а вторую — английские банки. Это прежде всего связано с успешной атакой на British Airways в конце 2018 года, в результате которой были скомпрометированы более 300 тысяч банковских карт. Кстати, $229 миллионов — составил штраф British Airways за компрометацию данных.

#Turkey #cardshops
✅Данные более 460 000 карт клиентов банков Турции были выставлены на продажу в кардшопе Joker’s Stash, сообщает сегодня ZDNet со ссылкой на Group-IB. Впервые две части базы под названием "TURKEY-MIX", включавших данные 60 000 банковских карт, были обнаружены Group-IB 28 октября, позже, 27 ноября, на том же ресурсе были опубликованы еще 2 части этой базы на 400 000 карт. Более 99% карт из этой базы принадлежат банкам Турции:  за последний год это единственная крупная распродажа платежных карт, связанных с турецкими банками. По оценкам экспертов Group-IB, стоимость базы на черном рынке оценивается при продаже в $500 000.  
✅Напомним, что в октябре этого года эксперты Threat Intelligence Group-IB  обнаружили на андеграундном форуме Joker's Stash огромную базу, содержащую более 1,3 миллиона записей с данными кредитных и дебетовых карт,  более 98% из них принадлежали клиентам индийских банков. Стоимость этой базы оценивалась более чем в  $130 миллионов.

#киберугрозы #медучреждения
📌 Чем опасны кибератаки на медицинские учреждения и откуда ждать удара? Руководитель департамента системных решений Group-IB Антон Фишман рассказал корреспонденту ComNews, что успешная кибератака на больницу или госпиталь может привести к весьма печальным последствиям: угрозе жизни и здоровья пациентов, выводу из строя дорогостоящего оборудования, потере чувствительной персональной информации. Эксперты Group-IB выделяют несколько основных типов киберугроз, направленных на медицинские учреждения:
👉Атаки вирусов-шифровальщиков (вымогателей). О том, насколько разрушительными могут быть последствия использования этого вида кибероружия, мы можем судить по атакам в 2017 году вирусов-шифровальщиков WannaCry, NotPetya, BadRabbit. Угроза все еще актуальна — в октябре 2019 сразу десять медицинских учреждений (три в Алабаме (США) и еще семь в Австралии) пострадали от атак вымогателей, из-за чего были вынуждены полностью приостановить работу или отключить некоторые из своих систем, перейдя на "ручное управление".
👉  Взлом и утечки. Взлом компьютерных систем медицинского учреждения чреват потерей персональных данных, включая диагноз пациента. В марте 2019 г. в открытом доступе была обнаружена медицинская база данных граждан России — пациентов скорой помощи нескольких подмосковных городов. Из нее можно было узнать имена, адреса и телефоны, а также о состоянии здоровья обратившихся к врачам.
👉 Хищение денег в системе ДБО (дистанционного банковского обслуживания). Компьютеры главного бухгалтера или главного врача, подключенные к системе ДБО, могут быть атакованы банковским трояном — заражение происходит после открытия фишингового письма с вредоносным вложением либо при переходе на сайт, скомпрометированный преступниками.
👉 Атаки на IоT-устройства — роутеры, видеокамеры могут использоваться для майнинга криптовалют либо, как это происходит в случаях с видеокамерами — для несанкционированной видеозаписи и шантажа.
👉  DDoS-атаки на сайт медучреждения или взлом системы электронной очереди вызовут неразбериху и негативные отклики со стороны пациентов. Ситуация, наверняка, потребуют внимания в т.ч. регуляторов.
👉 Кроме того, медучреждения могут стать жертвами "транзитных" атак — все чаще целевые атаки проводятся через посредника, то есть преступники сначала скомпрометируют инфраструктуру медучереждения для дальнейшего развития атаки на отраслевое министерство, контролирующие органы и т.д.

👉Недавно эксперты Microsoft Threat Intelligence Center предупредили о кибератаках группы GALLIUM, нацеленной на телекоммуникационные компании. Напомним, что в свежем отчете #HiTechCrimeTrends специалисты Group-IB отмечали, что телеком-индустрия является одной из приоритетных целей для прогосударственных групп: скомпрометировав оператора, хакеры получают возможность развивать атаки на его клиентов для шпионажа или саботажа.

#инсайд #андеграунд
📌“Известия” сегодня рассказывают, как злодеи ищут инсайдеров в банках. Павел Крылов, руководитель направления SecureBank/SecurePortal Group-IB, считает, что преступники активно ищут инсайдеров, поскольку их мошеннические схемы с использованием персональных данных сейчас успешны и эффективны. Преступные группы, в том числе и в местах лишения свободы, могут эти данные монетизировать, пользуясь возможностями по хищению и выводу денежных средств.  Пока есть спрос, подобные преступления будут продолжаться.
✅Что важно: использование технических средств  только на стороне банка (например, DLP) недостаточно. Российскому банковскому сектору пора «взрослеть» и переходить на использование технологий киберразведки и хантинга, основанных на знаниях техник, инструментов и механизмов работы киберкриминального рынка.  Именно таким образом можно обеспечить проактивный мониторинг, в том числе андеграундных площадок, для того, чтобы предотвратить новые инсайды и угрозы для своих клиентов, поскольку данные, содержащиеся в базах могут быть использованы например, при телефонном мошенничестве.
👉Дмитрий Шестаков, руководитель группы исследования киберпреступности Group-IB, замечает, что злоумышленники часто используют андеграундные ресурсы для поиска инсайдеров в различных финансовых учреждениях. “Одни точечно ищут людей, которые работают в определенных банках. Другие — ищут сотрудников абсолютно любых финансовых учреждений. После того, как они находят подходящих кандидатов, открывают сервисы по предоставлению конфиденциальной информации из банков  (это могут быть объявления на форумах, группы в Telegram для продажи банковских баз, выгрузок по определенным запросам или точечному пробиву по определенному клиенту)”.

✅Компании «Аладдин Р.Д.», ведущий российский разработчик и поставщик решений для обеспечения информационной безопасности, и Group-IB, международная компания, специализирующаяся на предотвращении кибератак, объявляют о выходе совместного решения «JC-WebClient & Secure Bank», созданного для выявления угроз, невидимых для традиционных антифрод-систем. Основными задачами решения являются минимизация сомнительных операций в системах дистанционного банковского обслуживания (ДБО), а также помощь финансовым организациям в соблюдении требований и рекомендаций ЦБ по противодействию хищениям денежных средств.💪
👉В отличие от классических антифрод-решений, Secure Bank выявляет и останавливает подозрительную активность в мобильном банковском приложении или системе интернет-банкинга задолго до осуществления мошенничества, выявляя попытки воспользоваться украденными учётными данными или воспроизвести действия легитимного пользователя. Secure Bank «видит» любые отклонения от типичной операции за счёт анализа технических параметров устройства («цифрового отпечатка») и поведения пользователя, позволяющего создать «цифровой портрет» легитимного клиента банка, учитывающий такие параметры как движения мышкой, скорость печати, положение телефона в руке, усилие и пятно нажатия на тачскрин, характеристики «свайпов» и многое другое.
👉Приложение JC-WebClient устанавливается на ПК пользователя и собирает данные об устройстве, в то время как Group-IB Secure Bank работает на стороне банка и идентифицирует устройства клиентов банка в онлайн- и мобильном каналах, анализирует поведение пользователей и выявляет наличие веб-инъекций, вредоносного ПО и несанкционированного доступа на смартфонах, планшетах, ПК, позволяя предотвратить попытки онлайн-мошенничества с учётом полученной информации от JC-WebClient.

#Росбанк #Сотрудничество #SecureBank

✅Росбанк, входящий в международную финансовую группу Société Générale, и Group-IB объявляют о стратегическом сотрудничестве в сфере кибербезопасности.
Целью сотрудничества является дальнейшее совершенствование антифрод-контура Росбанка на фоне роста мошенничества, связанного с социальной инженерией, в отношении клиентов банков.🤝

📌В 2019 завершились пилотные испытания технологии Group-IB Secure Bank, и решение было внедрено в промышленную эксплуатацию для защиты клиентов Росбанка – как физических, так и юридических лиц.

👉«Secure Bank показал высокую скорость и качество выявления подозрительной активности в каналах ДБО на ранней стадии. Это позволило нам снизить нагрузку на транзакционные системы антифрода, а главное, – значительно расширить возможности для анализа и предотвращения потенциальных атак», — комментирует Михаил Иванов, директор департамента информационной безопасности Росбанка.

#Приговор #AntiPiracy

Эту новость мы давно ждали. Красногорский городской суд Московской области вынес  обвинительный приговор —  2 года условно — владельцу пиратских онлайн-кинотеатров, обвиняемому по ч.3 статьи 146 УК РФ («Нарушение авторских и смежных прав»). Для России - это прецедент!
👉Что случилось?
Еще в 2018 году специалисты направления Group-IB Anti-Piracy обнаружили крупную сеть пиратских онлайн-кинотеатров, состоявшую из ресурсов kinogb.guru, kinokot.biz и fosa.mekinogb.guru, kinokot.biz и fosa.me, а также десятка их «зеркал», среди которых kinogb.site, kinogb.me, kinogb.life , kinogb.cc , kinogb.mobi, kinokot.me, kinogb.tv. Пиратская библиотека каждого сайта насчитывала более 10 000 наименований: здесь были выложены последние киноновинки и другие популярные фильмы и сериалы. «Пират» получал контент от одного из крупнейших пиратских CDN (Content Distribution Network, сеть доставки контента) — Moonwalk (прекратил работу в октябре 2019 года). Рекламодателями его пиратских сайтов по традиции являлись онлайн-казино — 1xbet и Azino777, которые также через CDN-провайдеров поставляли готовый контент с уже вшитым в видеоряд рекламным блоком. Специалисты отдела расследования Group-IB смогли довольно быстро выйти на след пирата, полиция его задержала, дело отправили в суд.
👉Почему это важно?
"Этим кейсом создан важный прецедент привлечения владельцев пиратских ресурсов к уголовной ответственности, — говорит Андрей Бусаргин, руководитель департамента инновационной защиты интеллектуальной собственности Group-IB. — На пиратов работают организованные преступные группы: одни снимают видео в кинотеатрах, другие делают перевод, третьи озвучивают картину, четвертые адаптируют и выкладывают „пиратки“ в сеть. Только уголовное преследование в сочетании с ужесточением антипиратского законодательства может привести к тому, что количество желающих заняться этим противозаконным бизнесом уменьшится".

www.group-ib.ru
Group-IB: впервые в России осужден владелец пиратской сети онлайн-кинотеатров
Group-IB – одна из ведущих международных компаний по предотвращению и расследованию

#Приговор #AntiPiracy #Бусаргин

🎥 В этом видео Андрей Бусаргин, руководитель департамента инновационной защиты интеллектуальной собственности Group-IB,  рассказывает, почему вчерашний приговор владельцу пиратских онлайн-кинотеатров так важен для киноиндустрии. https://www.youtube.com/watch?v=UlpDjELqvDY&feature=youtu.be

👉Этой статьей мы завершаем цикл публикаций, посвященных анализу вредоносного программного обеспечения. Илья Померанцев, специалист по анализу вредоносного кода CERT Group-IB, расскажет о первом этапе анализа ВПО — полуавтоматической распаковке сэмплов AgentTesla на примере трех мини-кейсов из практики специалистов CERT Group-IB.  Если вы хотите сами еще раз изучить, как проводится распаковка сэмплов AgentTesla, и увидеть, как это делает специалист CERT Group-IB, можете скачать запись вебинара по этой теме здесь.

#алкоголь #онлайн_торговля
🍹Group-IB оценила оборот «теневого» рынка продажи алкоголя в Интернете в 2019 году в 2,5 млрд. руб. Это почти на 400 млн рублей (+19%) больше, чем в 2018 году. В общей сложности эксперты направления Group-IB Brand Protection обнаружили около 2 500 интернет-сайтов, аккаунтов или групп в соцсетях, торгующих спиртным в обход действующего законодательства. Эксперты отмечают, что массовая блокировка Роскомнадзором сайтов с дистанционной продажей алкоголя приводит к «миграции» подпольных продавцов в мессенджеры, мобильные приложения и соцсети.

👉Напомним, что розничная продажа алкоголя дистанционным способом в России запрещена и официальные производители не могут законно распространять алкоголь в онлайне. Эту нишу занимают нелегальные продавцы: в 2018 году оборот «теневого» рынка продажи алкоголя в Интернете составил 2,1 млрд. руб, а в 2017 году — 1, 7 млрд рублей.