​#StayCyberSafe&Discuss

💎Когда марафоны на свежем воздухе оказались вдруг недоступными, мы придумали интеллектуальную альтернативу: онлайн-марафон лучших практик обеспечения информационной безопасности в экстремальных условиях начала 2020 года.
💎Выбирайте наиболее интересные темы и присоединяйтесь к онлайн-дискуссиям. Делитесь своим опытом организации текущей работы и не стесняйтесь задавать вопросы экспертам Group-IB.

✅Расписание наших онлайн-стартов:

👉"Как сохранить данные в безопасности в 2020 году?"
15 апреля, 11:00 (МСК)
👉"Непрерывность промышленных процессов - условие выживания сегодня"
17 апреля, 11:00 (МСК)
👉"Турбулентность 2020: обеспечение непрерывности бизнес-процессов и кибербезопасности организации в новом мире"
21 апреля, 11:00 (МСК)
👉"Тренды атак на финансовый сектор в текущей ситуации экономического и эпидемиологического кризиса"
23 апреля, 11:00 (МСК)
👉"Как мошенники атакуют своих жертв в начале 2020 года. Анализ кейсов"
29 апреля, 11:00 (МСК)

Регистрация тут.

​👉 Сегодня у некоторых жителей Москвы возникли сложности с доступом на портал mos.rumos.ru для оформления электронных пропусков. В столичной мэрии заявили, что сайт подвергся многочисленным кибератакам.

🕵️‍♂️Ситуацию комментирует Илья Сачков, CEO Group-IB:

"Начиная с февраля 2020 года Group-IB фиксировала несколько DDoS-атак на инфраструктуру Москвы и в частности на mos.ru. На данный момент, специалисты Group-IB привлечены к расследованию ряда киберинцидентов, связанных с попыткой вмешательства в работу электронных сервисов Москвы, данные по ним постоянно обновляются. Сегодня, 13 апреля, сайт Mos.ru начал испытывать повышенные нагрузки, связанные не только с большим количеством посетителей, желающих получить цифровой пропуск, но и с кибератаками, природа и атрибуция которых исследуется нами. О результатах анализа сообщим дополнительноmos.ru. На данный момент, специалисты Group-IB привлечены к расследованию ряда киберинцидентов, связанных с попыткой вмешательства в работу электронных сервисов Москвы, данные по ним постоянно обновляются. Сегодня, 13 апреля, сайт Mos.ru начал испытывать повышенные нагрузки, связанные не только с большим количеством посетителей, желающих получить цифровой пропуск, но и с кибератаками, природа и атрибуция которых исследуется нами. О результатах анализа сообщим дополнительно".

📌 ДИТ Москвы сообщает, что с момента открытия сервиса уже выдано порядка 780 тысяч цифровых пропусков, из них порядка 80% – пропуска для поездок на работу.

​#COVID_fake
🔻Тема: Покупка справок-пропусков на период карантина.
🔻 Продвижение: фейковые ресурсы, Telegram-каналы.
🔻 Степень опасности: мошенничество.
🔻Ущерб: от 3000 до 6000 рублей и хищение персональных данных.

☠️Group-IB фиксирует появление новых мошеннических сайтов и Telegram-каналов, предлагающих приобрести справки-пропуска на период карантина для жителей Москвы и регионов России.

👉Один из подобных ресурсов был зарегистрирован 9 апреля. Мошенники утверждают, что изготовят пропуск онлайн, без анкет и заявлений — для оформления им нужен только скан паспорта клиента. Стоимость справки-пропуска для передвижения по Москве составляет 3000 рублей, справка для передвижения по регионам РФ - 3500 рублей, пропуск для въезда в город (Москва, Санкт -Петербург) - 4000 рублей, пропуск для въезда в регионы РФ - 4500 рублей. Доставку "пропусков" обещают организовать через курьерскую службу.

👉В многочисленных Telegram-каналах также предлагают приобретение электронных пропусков по цене от 3 000 рублей до 5 500 рублей. Чтобы купить пропуск, нужно переслать администраторам этих каналов свои инициалы — “пропуск” обещают оформить за пару часов и прислать его в цифровом формате.

☠️Group-IB предупреждает: все подобные сервисы - мошеннические. Опасность в том, что жертвы могут не только потерять деньги. Отправляя сканы своих паспортов, они, сами того не зная, могут оказаться должниками, поскольку мошенники могут взять на их имя деньги в микрокредитных организациях или оформить потребительские кредиты.

🕵️‍♂️Сообщить о мошеннических сайтах вы можете по телефону «круглосуточной линии» +7 (495) 984-33-64 или на почту response@cert-gib.com

Примеры бойкой торговли фейковыми пропусками в Telegram-каналах

❗️Оперативный штаб сообщает: злоумышленники на портале JoyReactor предлагают «положить» сайт для выдачи цифровых пропусков.

Группа злоумышленников пытается создать дополнительную нагрузку на сайт nedoma.mos.ru через генерацию большого количества запросов. Информация об этом направлена в правоохранительные органы.

Напоминаем, что цифровые пропуска заработают в Москве с 15 апреля. У вас есть еще два дня на оформление пропусков. Портал mos.ru в настоящее время работает, процесс выдачи пропусков москвичам продолжается. Кроме того, пропуска можно оформить через единую справочную службу Правительства Москвы по номеру +7 (495) 777-77-77 и через СМС на номер 7377.

​Непрерывный кибербез: решения Group-IB, меняющие реальность

💪Group-IB поддерживает своих клиентов в этот сложный период, предлагая набор высокотехнологичных сервисов по кибербезопасности на специальных условиях.

✅Обнаружение сложных кибератак с Group-IB Virtual Threat Detection System (Virtual TDS) - 2 месяца бесплатно + дополнительная скидка 15% на годовую подписку

✅Защита пользователей онлайн-порталов компании с Group-IB Secure Portal Essentials - 2 месяца бесплатно + дополнительная скидка 15% на годовую подписку

✅Предотвращение мошенничества в системах дистанционного банковского обслуживания с Group-IB Secure Bank Essentials - 2 месяца бесплатно + дополнительная скидка 15% на годовую подписку

✅Аудит текущей системы организации удаленного доступа - Срок – от 7 раб. дней, стоимость рассчитывается на основании опросного листа

✅Анализ вредоносных объектов от CERT-GIB - 6 месяцев подписки на 4 или 6 экспресс-анализа

✅Удаленное реагирование на инциденты информационной безопасности - Годовая подписка с поквартальной оплатой

Подробнее с каждым предложением вы сможете ознакомиться на странице

​#zoomdetected

👉Специалисты Group-IB Threat Hunting Intelligence обнаружили объявления о продаже учетных записей пользователей Zoom на трех андеграундных площадках, рассказал Дмитрий Шестаков, руководитель группы исследования киберпреступности Group-IB. По его словам,
общее количество уникальных записей, выложеных в паблик на данный момент, составляет 4153, среди которых 31 аккаунт принадлежит пользователям с почтовым адресом в домене .ru. Проверить, действительно ли эти учетные данные принадлежат пользователям Zoom, пока не представляется возможным.

☠️Опасность в том, что большое количество пользователей используют один и тот же пароль для разных сервисов. Получив логин и пароль от одного сервиса, злоумышленники могут попытаться использовать его для получения доступа к вашим аккаунтам на других площадках. Чтобы этого избежать, стоит, как минимум,  использовать сложные и неповторяющиеся пароли для разных сервисов и включить двухфакторную аутентификацию везде, где это возможно.

👨‍💻Сейчас, когда весь мир перешел на удаленную работу, соблюдение базовых правил цифровой гигиены стало критически важным. Под угрозой не только персональные данные пользователей, но и чувствительная корпоративная информация, доступ к которой злоумышленники могут получить, скомпрометировав домашнюю сеть или компьютер сотрудника на «удаленке».

🕵️‍♂️Чтобы помочь противостоять киберугрозам в условиях дистанционной работы Group-IB создала портал StayCyberSafe с материалами, которые помогут обеспечить комфортную и безопасную удаленную работу, а также вебинарами об актуальных киберугрозах и способах борьбы с ними.

#PhishingKit
Конструктор для киберпреступления:  Group-IB фиксирует бум на рынке фишинг-китов

🕵️‍♂️Group-IB фиксирует резкий подъем продаж на рынке фишинг-китов – «конструкторов» для массового создания фишинговых сайтов. В прошлом году система Group-IB Threat Intelligence обнаружила более 16 200 уникальных фишинговых наборов. Количество предложений и продавцов на андеграундных форумах увеличилось более чем в два раза. Средняя цена выросла на 149%, взлетев до $304 за набор.

📌Фишинговый набор (англ. Phishing Kit) — это архивный файл, содержащий скрипты, необходимые для создания и работы фишингового сайта. Такой инструмент позволяет злоумышленникам, не обладающим глубокими навыками программирования, быстро разворачивать сотни фишинговых страниц, часто используя их как «зеркала» друг друга. При блокировке одного такого сайта – мошенник активирует другой, при блокировке этого – следующий и так далее. В 2019 году брендами-фаворитами, от имени которых создавались фальшивые страницы у создателей фишинг-китов были Amazon, Google и Office 365.

​#interview

🕵️‍♂️О том, как обезопасить себя от мошенников, их новых схемах и уловках, а также о тех законах, которые нужно принять государству, чтобы борьба с киберпреступностью стала более эффективной, в интервью «Газете.Ru» рассказал замглавы Лаборатории компьютерной криминалистики Group-IB Сергей Никитин:

👉"Люди теряются и не воспринимают виртуальную среду как реальный мир. Если бы к вам на улице подошел какой-то незнакомый человек и попросил данные вашей карты, или какую-то другую информацию, вы бы, скорее всего, отправили его куда подальше, а когда люди общаются в чатах или общаются на досках объявлений, они так не делают".

👉Основной критерий – это быть бдительным. Сами схемы меняются постоянно, и информационные поводы, которыми пользуются мошенники, чуть ли не опережают повестку СМИ.  И коронавирус с этой точки зрения им отлично подходит".

👉Во-первых, мы встретили огромное количество вредоносных рассылок, связанных с темой COVID-19. Во-вторых,  люди перешли на удаленную работу, и в результате открылось значительно большее число сервисов для дистанционной работы, а ПО многих из них до сих пор не обновлено. Плюс сейчас есть огромное количество сервисов по онлайн-доставке, где люди указывают свои платежные данные, а это все тоже является потенциальной угрозой".

👉"Чтобы эффективно бороться с высокотехнологичной преступностью необходимо, как минимум, расширить перечень киберпреступлений [в УК], сделать сами формулировки более прозрачными, возможно, ввести отдельно суды и следствие, специализирующиеся на киберпреступлениях, и совершенствовать государственно-частное партнерство о проведении экспертиз, исследований или работ. Потому что киберпреступность только растет, и полиция просто не поспевает за ней – очереди и сложности с этим наглядно это показывают".

👉 "Для полноценного расследования многих преступлений требуется очень серьезное межгосударственное взаимодействие, а еще в данном случае недопустима бюрократия. То есть, если запрос будет идти полгода, то данные на серверах могут переписаться, журналы пропадут – и все, никого не вычислить уже чисто технически. А когда запрос идет из одной страны в другую, из другой в третью, оттуда в четвертую, а там их целая цепочка, и где-то на пути процесс начинает буксовать, то расследовать все очень сложно".

#COVID_fake
🔻Тема: Покупка справок-пропусков на период карантина.
🔻 Продвижение: фейковые ресурсы, Telegram-каналы, Instagram-аккаунты.
🔻 Степень опасности: мошенничество.
🔻Ущерб: от 3000 до 6000 рублей и хищение персональных данных.

☠️ Group-IB обнаружила уже 37 мошеннических ресурсов: сайтов, Telegram-каналов и Instagram-аккаунтов, предлагающих купить справки-пропуска на период карантина для жителей Москвы и регионов России. 12 сайтов и один Telegram-канал заблокированы. Остальные ресурсы - в процессе блокировки.

👉Начиная с 13 апреля Департамент инновационной защиты бренда и интеллектуальной собственности Group-IB фиксирует массовое появление новых мошеннических ресурсов, паразитирующих на теме выдачи пропусков. И если сначала интернет-аферисты предлагали свои услуги исключительно на специально созданных сайтах-лендингах и в Telegram-каналах, то, начиная с 14 апреля, они стали использовать аккаунты в Instagram, предлагающие оперативно "решить проблему" с электронными пропусками.

👉 На сайтах цена пропуска составляет от 3000 рублей до 4500 рублей. Доставку "пропусков" обещают организовать через курьерскую службу. В Telegram-каналах расценки — от 3 000 рублей до 5 500 рублей и “пропуск” присылают в цифровом формате. В Instagram предлагают оформить пропуск за 2999 рублей — готовый "Q-Kod" (как написано в объявлении) присылают в течении 40 мин.

👉 В качестве дополнительной опции на некоторых ресурсах предлагают "оформить" справку с места работы — из продуктового магазина (3 000 рублей), "Удостоверение фармацевта" (5 000 рублей), "Удостоверение врача" (7 000 рублей), поскольку все эти профессии входят в перечень, на которые не распространяются ограничения в период режима самоизоляции.

☠️Group-IB предупреждает: все подобные сервисы - мошеннические. Опасность в том, что жертвы, оплачивая заказ, могут не только потерять деньги, но и персональную информацию и данные банковских карт. Кроме того, умышленное указание ложных сведениях (ст. 19.18 КоАП) и подделка документов (ст. 327 УК РФ) преследуются по закону. По состоянию на утро четверга, 16 апреля, Департамент инновационной защиты бренда и интеллектуальной собственности Group-IB заблокировал уже 12 сайтов и один Telegram-канал, остальные - в процессе блокировки. Работа по мониторингу продолжается.

🕵️‍♂️Сообщить о мошеннических сайтах вы можете по телефону «круглосуточной линии» +7 (495) 984-33-64 или на почту response@cert-gib.com

​Group-IB фиксирует активный рост продаж доступов к корпоративным сетям на хакерских форумах начиная со второй половины 2019 года

👉Это связано, прежде всего с появлением новых игроков на рынке, объясняет Дмитрий Шестаков, руководитель группы исследования киберпреступности Group-IB. По его словам, во второй половине 2019 года продавцов стало на 58% больше, чем в первой, и на 92% больше, чем во второй половине 2017 года. Еще одним дополнительным фактором роста спроса на доступы, а, следовательно, и увеличение предложения на рынке, стало появлением большого количества новых партнерских программ по криптолокерам.

📌Активный рост продаж доступов к корпоративным сетям начался с 2017 года и с небольшими перебоями, связанными с временной приостановкой активности отдельных продавцов, вышел на пик в 2018 году. В частности, только один (!) из наиболее известных злоумышленников, торгующих такими услугами, в период с октября 2017 по сентябрь 2019 выставили на продажу доступ к сетям 135 компаний из более чем 40 стран мира.

👨‍💻Не работать по "РУ"
"Наблюдая развитие андеграунда в течение более 10 лет, мы видим, что услуга по продаже доступов по-прежнему доступна на ограниченном числе даркнет-ресурсов, в основном российских, — отмечает Дмитрий Шестаков. — У злоумышленников из России есть негласное правило не работать “по РУ”, то есть по странам СНГ. Поскольку основная масса продавцов русскоязычные – доступы к российским компаниям продаются редко. А если и продаются, то их принадлежность к России не афишируется. Немало примеров, когда кто-то из новичков пытается продать доступы по РУ, после чего, как правило, получает «бан» - то есть блокировку на форуме и удаление всех постов на эту тему".

☠️Риски на «удаленке»
Перевод сотрудников на удаленный режим работы – это дополнительные риски для кибербезопасности компаний. Прежде всего, потому что организовать грамотную защиту территориально распределенной инфраструктуры и предпринять те же организационно-технические меры информационной безопасности, которые действовали в офисе, способны не все: не у каждого бизнеса есть такой опыт. Зачастую «удаленка» организуется «на скорую руку» и это значительно упрощает задачу злоумышленников, желающих подзаработать на продаже доступов.

🕵️‍♂️StayCyberSafe
Чтобы помочь противостоять киберугрозам в условиях дистанционной работы Group-IB создала портал StayCyberSafe с материалами, которые помогут обеспечить комфортную и безопасную удаленную работу, а также вебинарами об актуальных киберугрозах и способах борьбы с ними.