​LNK-файлы (ярлыки windows, shortcut files)  — один из старейших артефактов Windows.  Огромное число программ для компьютерной криминалистики поддерживают, в той или иной степени, их анализ. Однако не все из них отображают содержимое полей ярлыков, анализ которых необходим при расследовании. Поэтому стоит аккуратно подходить к выбору программных инструментов, которые попадут в набор специалиста, расследующего инциденты. Игорь Михайлов, специалист Лаборатории компьютерной криминалистики Group-IB, рассказывает, в каких атаках  используются LNK-файлы и как их лучше детектировать. https://habr.com/ru/company/group-ib/blog/493906/

#COVID_fake
Шифровальщик из аптеки
🔻Дата рассылки: 27 марта
🔻Тема письма: Как не заболеть коронавирусом
🔻 Отправитель: "Аптека.ру"
🔻 Получатели: Нефтегаз, ТЭК
🔻Степень опасности: Malware
🔻Функционал: Шифровальщик
🔻Семейство: Обновленная версия шифровальщика Aurora
CERT-GIB зафиксировал 27 марта две рассылки вируса-шифровальщика по российским нефтегазовым компаниям —  в списке получателей оказались более 70 адресов. Письма, отправленные якобы от компании “Аптека.ру”, содержали презентацию  “лучших средств профилактики по доступной цене” под заголовком “Дарим “вакцину” от коронавируса!”. Кроме того, отправитель письма предлагал продажу противоинфекционных масок в любых количествах. В письме находилась ссылка на веб-ресурс, с которого происходила загрузка ZIP-архива с вредоносным файлом внутри — обновленной версией шифровальщика Aurora. Домен вредоносного ресурса был зарегистрирован 25 февраля 2020 года. Загружаемый с ресурса spectrplus[.]com вредоносный архив при запуске шифрует файлы на инфицированном компьютере и добавляет им расширение .serpom. Для их расшифровки злоумышленники требуют оплату в биткойнах. Детали выкупа предлагается узнать, связавшись с отправителями через сайт в сети TOR. Примечательно, что в этой атаке злоумышленники не подделывали адрес отправителя, вместо этого использовав созвучный почтовый ящик apteka_ru@inbox.ru.

👉Минутка саморекламы. Лаборатория компьютерной криминалистики Group-IB теперь извлекает и расшифровывает полный физический образ устройства на базе процессоров Kirin 710/710f/970/980 с операционной системой Android от 9 до 10 версии, вне зависимости от типа шифрования. Обращайтесь 👍

#COVID_fake
🔻Дата продажи: Февраль-Апрель 2020
🔻Тема: Карта распространения COVID-19.  
🔻 Отправитель: Произвольно
🔻 Получатели: Произвольно
🔻Степень опасности: Malware
🔻Функционал: Загрузка и исполнение вредоносных программ
🔻Семейство: Java-загрузчик
👉Сегодня речь пойдет не о перехваченной рассылке, а о продаже на андеграундном форуме Java-загрузчика, замаскированного под интерактивную карту распространения COVID-19. Продавец с говорящим ником FalosOfTanos уверяет, что его продукт эффективно работает как с Windows, так и MacOS, единственное условие — обязательное наличие любой версии Java на компьютере.  Цена предложения — от $300 до $700.  Объявление  FalosOfTanos впервые появилось на андеграундном форуме в конце февраля и до сих пор активно.
👉 Основным путем заражения является обычная фишинговая рассылка, и она, как уверяет продавец, обходит защиту Gmail благодаря использованию легитимных расширений файлов. После заражения пользователю открывается карта с актуальными данными ВОЗ и Университета Джона Хопкинса, а параллельно загружается любая полезная нагрузка, например, вредоносная программа для кражи данных — в  марте исследователи фиксировали такие рассылки со стилером AZORult.

#Incident_Response

📝Эксперты Лаборатории компьютерной криминалистики Group-IB проанализировали киберинциденты в банках в 2019 году. Это те самые полевые исследования, которые основаны на проведенных реагированиях (Incident Response) и расследованиях реальных киберпреступлений, а не та лукавая статистика, что, порой, собирается в тиши кабинетов.

Главный позитивный вывод – банки «взрослеют», уровень готовности к инцидентам кибербезопасности за год значительно повысился — (подробнее см инфографику):

📍 Инвестирование в обучение сотрудников привело к сокращению времени реагирования на инциденты и повышению качества их отработки.
📍 Количество банков, демонстрирующих высокую готовность к атакам, выросло на 21 процентный пункт по сравнению с прошлым годом.
📍Доля банков, не имеющих плана реагирования, снизилась до 53% в 2019 году, против 74% годом ранее.
📍Более 30% банков провели повторную проверку по итогам работ по выявлению следов компрометации и признаков подготовки хакерской атаки (Compromise Assessment) и проработали выявленные недостатки.
📍Наиболее продвинутые игроки финансового сектора стали регулярно проводить проверку готовности к инцидентам ИБ (Pre-IR Assessment) и внедрили у себя разработанные по итогам этой проверки регламенты.

📝Любопытно, что общее количество реагирований Лаборатории компьютерной криминалистики Group-IB за год выросло более чем на 40% по сравнению с 2018 годом. Как это возможно, если исход хакерских групп из «зоны РУ» привел к значительному сокращению целевых атак на российский финансовый сектор?

👉Во-первых, эксперты Group-IB фиксируют рост запросов на реагирования, связанных с инцидентами по утечками данных – на 48%, социальной инженерией – на 154% и фактами «долгосрочной» компрометации корпоративной инфраструктуры из-за вовремя не обнаруженных и не удаленных угроз — на 23%.

👉А, во-вторых, банки стали меньше заниматься «самолечением». К работам по корректной локализации инцидента, сбору, анализу цифровых доказательств и расследованию атаки банки все чаще привлекают сторонних специалистов с профильной экспертизой.

​#Incident_Response #quote

🕵️‍♂️«Банки сознательно уходят от общего мониторинга сети и не ограничиваются локальной проверкой конкретного узла, на котором возникло событие. Более зрелый подход заключается в расследовании с целью установления причинно-следственной связи возникновения инцидента. — уверен Валерий Баулин, глава Лаборатории компьютерной криминалистики Group-IB. —  По итогам прошедшего года, среди организаций финансового сектора мы наблюдаем осознание важности доведения хронологической цепочки расследования до конца: от выявления причины до создания практик и регламентов по предотвращению инцидентов в будущем. Эти и другие показатели, которые мы анализировали в своем исследовании, свидетельствуют о взрослении российского банковского сектора в части реагирования на киберинциденты, чему способствует активность регулятора и высокий спрос на обучение и повышение квалификации киберспециалистов».

​#Incident_Response #Threat_Hunting_Intelligence

👉Кстати, усиление защиты цифровых рубежей банков вынудило киберкриминал искать новые каналы вывода информации.

🕵️‍♂️В 2019-м году заметно возросла активность по утечкам данных вследствие действий инсайдеров. Согласно сравнительному анализу, проведенному командой Group-IB Threat Hunting Intelligence, количество даркнет-сервисов по продаже выгрузок клиентских данных в 2019 году увеличилось на 55% по сравнению с 2018 годом.

😓Появление на андеграундных форумах объявлений о продаже выгрузок данных о клиентах различных банков становилось фокусом новостной повестки. Отметим, что такой «товар» в даркнете был всегда, но благодаря вниманию СМИ, именно в прошлом году эти объявления вызывали наибольший общественный резонанс.

☠️Покупка таких выгрузок, как правило, нужна для использования в мошенничествах с социальной инженерией: чем больше данных есть у мошенников о клиенте банка, тем проще вызвать доверие. Обычно для этих целей используется инсайдер с невысоким уровнем доступа, не имеющий возможности выгрузки CVV/CVC, полного номера карты и др.

​#brandprotection #brandabuse

💎Пока производители парфюмерии конкурируют между собой, разрабатывая новые формулы духов и способы продвижения на рынке, мошенники зарабатывают,  паразитируя на чужом имени и популярности.

💎Не так давно команда Group-IB Brand Protection проанализировала предложения контрафактной парфюмерии в интернете — мы писали об этом в феврале.  Напоминаем, что полный текст исследования доступен для скачивания здесь: "Актуальные киберугрозы для парфюмерных брендов в 2019 году".

Из отчета вы узнаете:

📌Оценку рынка online-продаж контрафактной парфюмерии;
📌Популярные online-площадки, торгующие контрафактным парфюмом и методы привлечения трафика на них.
📌 Угрозы для парфюмерных компаний и рекомендации по противодействию  незаконной интернет-торговле.

​#COVID_fake
Group-IB TDS отразил атаку шпиона HawkEye

🔻 Дата рассылки: 3 апреля
🔻 Тема письма: Re: TCSM Inquiry PO 2020014-1
🔻 Степень опасности: Malware
🔻 Функционал: Spyware (Шпионское ПО)
🔻 Семейство: HawkEye (aka HawkSpy)
🔻 Получатели: российские компании и организации

3 апреля CERT-GIB зафиксировал очередную волну рассылки шпионской программы HawkEye — на этот в раз в списке получателей оказался даже PR-отдел Group-IB. Опасное письмо выявила и нейтрализовала наша система предотвращения сложных киберугроз Threat Detection System (TDS). Само сообщение пришло от якобы представителя торгового партнера из Японии, в котором он выражал беспокойство, что Италия на некоторое время прекратила выпуск нужного ему товара из-за коронавируса, и интересовался возможностью и сроками доставки заказа. Внутри письма находится MS Word файл PO 2020 supply.doc, выступавший как загрузчик шпионской программы из семейства HawkEye (aka HawkSpy). Напомним, что в конце марта эту шпионскую программу рассылали под видом предложения от китайской компании об открытии совместного бизнеса по выпуску защитных медицинских масок.

Продукты линейки Group-IB TDS сертифицированы в Беларуси

📃Сертификат был выдан Оперативно-Аналитическим Центром при Президенте Республики Беларусь (ОАЦ) на продукты TDS Sensor версии 3 и TDS Huntbox версии 1, — и подтвердил их соответствие требованиям технического регламента Республики Беларусь.

🏅Что дает сертификация:

✔️ Group-IB получила возможность реализовывать продукты семейства TDS на территории страны и обеспечивать их продолжительные поставки в любых объемах для государственных и коммерческих организаций.

✔️Сертификат также разрешает серийное производство TDS Sensor и TDS Huntbox обозначенных версий до истечения срока действия документа (декабрь 2024).

«В каждой стране присутствия мы стремимся к соблюдению технических и организационных регламентов, установленных соответствующими органами в части использования локальными организациями и международными представительствами, работающими в этой стране, к средствам кибербезопасности, — уверен Александр Сушко, директор по развитию бизнеса в Республике Беларусь, Group-IB. — Успешное прохождение всех процедур по сертификации продуктов линейки TDS в Беларуси подтверждает высокий класс технологий Group-IB и открывает для нас новые возможности по работе, прежде всего, с банковским и государственным секторами, а также с другими отраслевыми организациями, для которых приоритетно использование сертифицированных решений для предотвращения кибератак».

​Идут поздравительные телеграммы. Медиалогия и Adindex объявили самые успешные кейсы по результатам исследования «Инфоповод 2019. ИТ-Телеком». В номинации Информационная безопасность отмечена и наша компания: Group-IB рассказала о случаях перехвата переписки в Telegram.

📌Что стряслось?
В конце 2019 года несколько российских предпринимателей столкнулись с проблемой несанкционированного доступа к их переписке в Telegram. Проблемы были как на устройствах iOS, так и Android, независимо от того клиентом какого федерального оператора сотовой связи являлся пострадавший.

📌Как защититься?
Мы рекомендовали на устройствах iOS и Android перейти в настройки Telegram, выбрать вкладку «Конфиденциальность» и назначить «Облачный пароль\Двухшаговую проверку» или «Two step verification»
👉Если так еще не сделали — самое время повысить свою безопасность, тем более, что в Telegram реализованы все необходимые опции, которые сведут усилия атакующих на нет.

📱Полный мануал, как защититься — здесь.
📹Видео "Как злоумышленники могут читать вашу переписку в Telegram. И как им в этом помешать" в исполнении зам руководителя Лаборатории компьютерной криминалистики Group-IB Сергея Никитина - здесь.

​#мошенничество

Двойной обман: Group-IB предупреждает об активизации аферы по возврату денег, украденных интернет-мошенниками

☠️На фоне тревожных новостей о коронавирусе, сокращениях и грядущем финансовом кризисе, Group-IB фиксирует распространение новой волны мошенничества, в котором пользователям, уже пострадавшим от интернет-преступников, предлагают получить компенсацию за участие в популярных фейковых опросах, «недобросовестных» лотереях или компенсацию НДС, но вместо этого списывают деньги и похищают данные банковских карт.

☠️Злоумышленники действуют под видом несуществующих организаций — Международной службы «Единый центр возвратов», «Национального Лотерейного Содружества», «Центра финансовой защиты» и др. CERT-GIB обнаружил целую сеть связанных сайтов, включавшую более 170 доменных имен, зарегистрированных на одно и то же лицо. В марте 2020 года появились еще три десятка новых доменов под схему с компенсацией НДС.

☠️Атака, как правило, начинается с рассылки в мессенджерах, по почте или в соцсетях. Мошенники проводят свои рассылки, как «на холодную» , так и таргетировано, по жертвам прошлых афер, поскольку в различных схемах (например, «Кроличья нора») злоумышленники специально собирают данные пользователей, чтобы снова использовать их для рассылки спама или ссылок на новые мошеннические акции.

☠️В кейсе с компенсацией НДС была выбрана более изощренная модель продвижения: мошенники рекламировали в группах local.yandex фейковое интервью со специально созданного сайта-клона популярного издания: "76 летняя пенсионерка получила 170 000 руб компенсации НДС и потратила все деньги на стрептизера». Так прямо и написано — на "стрептизера". Даже не на гречку.