​Распространение коронавируса привело к использованию в рунете различных преступных схем, пишет сегодня Ъ. Эксперты по кибербезопасности, в частности, зафиксировали рассылку фейковых писем якобы от государственных структур, в которых содержится вредоносное программное обеспечение (ПО). Также в рассылках  активно используются истории с пандемией и "удаленкой" —  кибермошенники пытаются получить данные для входа в учетные записи сотрудников компаний.

​☠️Group-IB дала рекомендации по организации удаленной работы:

📌 Проверить все сервисы и оборудование, которое используется для удаленного доступа, на наличие обновленных микропрограмм и патчей безопасности. Как правило, открытые порты служб удаленного управления, смотрящие «наружу» в интернет, являются целью №1 для атак. Другим вариантом является доступ к данным сервисам только из VPN, защищенного двухфакторной аутентификацией.

📌 Если используются домашние компьютеры, желательно  настроить не прямой, а терминальный удаленный доступ в сеть, к виртуальному рабочему месту, со всеми установленными средствами защиты информации.

📌Использовать удаленный доступ в корпоративную сеть организации строго с двухфакторной аутентификацией.

📌 Несмотря на многочисленные советы по организации защищенного канала высок риск неправильной организации VPN-подключения, при которой домашний компьютер сотрудника окажется за пределами периметровых средств защиты компании, однако VPN будет устанавливаться сразу с критически важными сегментами корпоративной сети.

📌 Необходимо провести сегментирование сети и разделение прав доступа. Желательно, чтобы даже удаленная активность пользователей закрывалась периметровыми средствами защиты организации.

📌 Если у сотрудников имеется возможность удаленной работы с электронной почтой, проверить, что она защищена двухфакторной аутентификацией. Кроме того, необходимо внедрить обработку электронной почты средствами детонации вредоносного кода, на отправку и получение.

📌 Проверить наличие и срок ведения журналов удаленного действия пользователей. Проверить наличие таймаута неактивного удаленного подключения с требованием повторной аутентификации.

Напомним, что вчера в Group-IB назвали актуальные угрозы в период пандемии COVID-19

​👉"КоммерсантЪ"  сообщает, что киберпреступность активно Сибирью прирастает. В 2019 году правоохранительные органы Сибирского федерального округа завели на 4 тыс. больше уголовных дел, совершенных с использованием информационных технологий, чем в 2018-м, когда их было более 12 тыс. Большую долю от всех кибератак по-прежнему занимают кражи конфиденциальной информации для перепродажи.

🕵️‍♂️В свою очередь эксперты Group-IB рассказали историю 25-летнего администратора бот-сетей из Новокузнецка, который смог заразить несколько тысяч компьютеров российских и зарубежных пользователей  трояном Pony Formgrabber для кражи учетных записей.  

👨‍💻Задержанный фактически был «наемником» и предлагал преступным группам услуги по модели cybercrime-as-a-service: на арендованных серверах разворачивал, тестировал и обслуживал административные панели троянов, а также сам похищал учетные записи (логины и пароли, сохраненные в почтовых клиентах и браузерах) для продажи на подпольных форумах.

👉 Кремль назвал имена россиян, которых можно поставить в один ряд с Илоном Маском — в список, составленный по просьбе “Ъ FM”, вошли 14 человек. Кто они — российские инноваторы по версии Кремля?

👉 В основном, это предприниматели из IT-компаний. Помимо главы «Яндекса» Аркадия Воложа, в перечень вошли Илья Сачков из Group-IB (кибербезопасность), Артем Кухаренко из NtechLab (распознавание лиц), Давид Ян из ABBYY (распознавание текста и лингвистика) и Олег Кивокурцев из Promobot (робототехника). В список также попал Никита Чен-Юн-Тай – основатель компании Apis Cor, внедряющей 3D-печать в сфере строительства и др.

👍 Основатель и гендиректор Group-IB Илья Сачков:
«Я не слышал, чтобы в Кремле говорили про этот список, то есть для меня это сюрприз. Я не считаю себя Илоном Маском, но очень его уважаю. Для меня он — одна из ролевых моделей. Я российский предприниматель, который строит глобальную компанию. Теми инженерными вещами, которые мы делаем в разных странах мира, можно гордиться. И если в Кремле разделяют это мнение, мне и нашим инженерам будет приятно».

​Количество фишинговых рассылок за последние несколько дней выросло в четыре раза, сообщают сегодня "Известия". Удаленная работа, на которую перешли многие компании из-за коронавируса, может поставить под угрозу безопасность информационных систем организаций. Криминалисты Group-IB напомнили, что злоумышленники могут отправлять фишинговые рассылки с использованием злободневных тем, например, новостей и распоряжений, касающихся коронавируса, отмены командировок, атаковать RDP (протокол удаленного рабочего стола), скомпрометировать домашнее оборудование, например, маршрутизаторы или видеокамеры.

👉В конце прошлой недели Банк России объявил о мерах поддержки финансовых учреждений в период пандемии и перевода сотрудников на "удаленку". К примеру, ЦБ предложил:

📌 временно снизить регуляторную и надзорную нагрузку; 📌ограничить мероприятия, требующие личного присутствия сотрудников в офисах;
📌увеличить сроки на предоставление отчетности;
📌снизить количество несрочных запросов в финансовые организации.

🔸"Выступая с подобными мерами, ЦБ РФ, действительно, идет на серьезные уступки в части надзора и отчетности, но это не значит, что регулятор "закроет глаза" на серьезные нарушения и соблюдение требований по кибербезопасности в целом, — считает Антон Фишман, руководитель департамента системных решений Group-IB. — В период пандемии, когда многие компании переходят на удаленную работу, особенно важно, чтобы банки продолжали работать без перебоев. Чтобы люди, сидя дома, могли свободно распоряжаться своими деньгами, оплачивать услуги, получать зарплату. Все эти финансовые сервисы завязаны на огромное количество внутренних процессов и инфраструктуру, которую надо поддерживать и управлять в том числе и в условиях  «удаленки». Готовых сценариев нет, приходится экспериментировать на ходу.

🔸Напомним, что требования Банка России накладывают ограничение на ряд операций с точки зрения защиты информации: не все операции можно выполнять дистанционно (например, с АРМ КБР не допускается удалённая работа), а, во-вторых, есть жесткие требования по подготовке отчетности и срокам предоставления информации по запросам.

🔸В выпущенных ЦБ мерах говорится о том, что Центральный банк воздержится от применения мер в соответствии с 86-ФЗ, которые говорят о проверках и возможных штрафах за нарушение требований нормативных актов.

🔸С другой стороны — и это очень важно! — выпущенный документ о мерах не является нормативным актом, поэтому в случае инцидента — успешной кибератаки, хищения денежных средств или утечки персональных данных, Банк России может спросить с виновника — в отношении нарушителя решения будут приниматься, исходя из комплекса обстоятельств, включая тяжесть самого нарушения, ущерба и усилий банка по минимизации последствий.

🔸 Говоря другими словами, по закону за ЦБ формально остается право наказать нарушителя, но пользоваться им регулятор будет только в самых крайних случаях, когда банк не просто нарушил предписания, а действовал некорректно и своими действиями (или бездействием) причинил значительный ущерб.

🕵️‍♂️При том, что крупные банки в России достаточно зрелые, они оснащены технологиями и кадрами, ошибки при проектировании и функционировании удаленной инфраструктуры вполне вероятны, поэтому наш совет — несмотря на то, что времени мало, пригласить экспертов для разработки модели рисков и угроз, провести аудит и пентесты системы, проработать план реагирования на инциденты".

​Минэнерго обеспечит защиту виртуальных рабочих мест для своих сотрудников с помощью технологий Group-IB

👉В ближайшее время Министерство энергетики РФ планирует поэтапно вывести часть своих сотрудников на удаленный режим работы, создав для них необходимую инфраструктуру внутри единого защищенного сетевого периметра.

📌Перед специалистами Group-IB поставлены две задачи. Первая – разработать и внедрить эффективные сценарии организации защищенных виртуальных рабочих мест, которые легко масштабируются на любое количество сотрудников ведомства – от сотен до нескольких тысяч.

📌Вторая – обеспечить комплексную защиту распределенной ИТ-инфраструктуры Минэнерго от различных типов угроз, включая целевые атаки на критически важные системы, supply chain (атаки через поставщика или дочернюю организацию), попытки проникновения в изолированные сегменты OT-сети, а также от компрометации с помощью неизвестных вредоносных программ (угрозы «нулевого дня»), не выявляемых антивирусными средствами.

💪Ожидается, что принципы, которые Минэнерго закладывает сейчас по обеспечению кибербезопасности своей инфраструктуры, в дальнейшем могут лечь в основу стандартов энергетики Российской Федерации.

💻При работе на "удаленке" повышаются риски кибератак и кражи данных компании. Именно поэтому сейчас особенно важно помнить о правилах цифровой гигиены и быть в курсе последних новостей в мире кибербезопасности.
⚔️Специалисты Group-IB подготовили полезную информацию, чтобы помочь  противостоять киберугрозам в условиях дистанционной работы:
📌Материалы, которые позволят обеспечить комфортную и безопасную работу из дома для вас и ваших сотрудников;
📌Вебинары об актуальных киберугрозах и способах борьбы с ними.
Присоединяйтесь, расширяйте свои знания и #StayCyberSafe c Group-IB!
https://bit.ly/2WEdPsW

❤️В этом году фонд «Сколково» отмечает свое десятилетие.  «Ъ-Наука» рассказывает о трех резидентах — Group-IB, «Моторика» и «Радио Гигабит». “Их [инновационные технологии] создают команды, которые благодаря участию в сколковском проекте смогли за несколько лет пройти путь от идеи или прототипа до лидерства в своих сегментах рынка”, — подчеркивает Ъ.

Совместный курс Group-IB и ВМК МГУ переходит в онлайн
📚Group-IB и факультет вычислительной математики и кибернетики Московского государственного университета имени М.В. Ломоносова (ВМК МГУ) запустили для студентов магистратуры совместный курс «Прикладные вопросы информационной безопасности», который на этой неделе перейдет в онлайн-формат.

📍Задача курса – дать понимание основ кибербезопасности студентам, чье будущее будет неразрывно связано с технологиями, неважно – в качестве разработчиков, тестировщиков или системных аналитиков.

📍Курс охватывает такие темы, как:
•  Проблемы цифровой гигиены;
•  Основные типы угроз и атак;
•  Сетевая безопасность и принципы построения безопасной IT-инфраструктуры;
•  Реагирование на инциденты и их расследование;
•  Идентификация пользователей в сети;
•  Разведка на основе открытых источников – OSINT;
•  Борьба с онлайн пиратством и защита бренда.

📍Первая лекция в формате вебинара пройдет уже в четверг, 26 марта. Последние новости о курсе можно узнать из его официального Telegram-канала.

Присоединяйтесь, расширяйте свои знания и #StayCyberSafe c Group-IB!
https://bit.ly/2WEdPsW

Сохрани сам и передай другому!

​👉Мы продолжаем пополнять нашу библиотеку #StayCyberSafe полезными материалами. Теперь для вас доступны:

📌 Запись мастер-класса по правилам цифровой гигиены от эксперта Group-IB;
📌Технические вебинары по кибербезопасности;
📌 Аналитические статьи, разбор кибератак и методов противодействия им.

Следите за обновлениями, расширяйте свои знания и #StayCyberSafe c Group-IB!

https://bit.ly/2WEdPsW

#COVID_fake
☠️Две недели назад CERT-GIB предупреждал о росте числа вредоносных рассылок на злободневную тему COVID-19 (фейковые новости и распоряжения, касающиеся коронавируса, рекомендации по безопасности, компенсации и т.д.)  для заражения компьютеров пользователей вирусами-шифровальщиками, банковскими троянами, программами-шпионами. Мы приняли решение оперативно публиковать примеры подобных рассылок, чтобы предупредить об угрозе.

#COVID_fake
Шпион HawkEye спрятался под маской
🔻Дата рассылки: 27 и 28 марта
🔻Тема письма: Free Face Mask
🔻Степень опасности: Malware
🔻Функционал: Spyware (шпионское ПО)
🔻Семейство: HawkEye(aka HawkSpy)

👉Справка: В конце прошлой недели, 27 и 28 марта, CERT-GIB зафиксировал две волны рассылки шпионской программы HawkEye с темой Free face Mask. Письмо было отправлено якобы от менеджера китайской компании - GALAXY ELECTRONIC INDUSTRIAL, а получателями были российские компании, в том числе из сферы энергетики.  В письме говорились, что китайская компания якобы запустила завод по производству защитных масок — и если нужны маски или есть идея запустить совместный бизнес, нужно посмотреть сертификацию товара во вложении. Внутри находится RAR-архив Mask 2020.rar с вредоносным исполняемым файлом Mask 2020.exe и шпионской программой из семейства HawkEye (aka HawkSpy).