🕵️‍♂️ Мы знаем много примеров, когда IT-корпорации использовали личные данные пользователей в рекламных или маркетинговых целях. Однако случается, что собранная информация вдруг оказываются у третьих лиц, или в обработку попадают сведения, которые человек раскрывать не соглашался. Антон Долгалев, глава команды аналитиков Департамента инновационной защиты бренда и интеллектуальной собственности Group-IB, рассказал Газете.ру почему он не считает сбор и обработку личных данных пользователей IT-гигантами «слежкой» или «шпионажем», но при этом выступает за актуализацию законодательства, связанного со сбором и защитой персональных данных.

👉«Бывают случаи, когда компании собирают не только те данные, которые указываются в пользовательских соглашениях, а гораздо большие, и иногда случайно или не случайно эти данные попадают к третьим лицам. Вряд ли речь идет об умысле со стороны организации, ведь такой удар по репутации обойдется гораздо дороже предполагаемой прибыли от продажи клиентской базы на черном рынке. Реальный кейс, когда глобальная компания нарушает международное право и законодательство отдельных стран, а также условия пользования, специально ворует и использует личные данные, а затем умышленно продает их неким третьим лицам – это какая-то сильно конспирологическая история», — полагает эксперт.

​#ProLock #Ransomware

☠️Успех прошлогодних масштабных атак вирусов-шифровальщиков на компании, корпорации и целые муниципалитеты привел к тому, что все больше новых участников включаются в эту «гонку вооружений». Одним из таких новых игроков является шифровальщик ProLock.

👉Он появился в марте 2020 года как преемник PwndLocker, который начал работать в конце 2019 года и ответственен, например, за атаку на округ Ласалль штата Иллинойс, США, в начале этого года. Операторы PwndLocker оказались людьми весьма жадными — их выкупы всегда были в шестизначных цифрах, — и похоже, что злоумышленники, которые стоят за ProLock, также унаследовали эту черту.

🕵️‍♂️В этом посте Олег Скулкин, ведущий специалист Лаборатории компьютерной криминалистики Group-IB, подробно рассказывает об основных тактиках и техниках (TTPs) ProLock. Кстати, публикация об этом вчера вышла в Bleeping Сomputer. В заключение статьи автор дает полный расклад по операторам нового шифровальщика по матрице MITRE ATT&CK — публичной базе знаний, в которой собраны тактики и техники целевых атак, применяемые различными группировками киберпреступников.

​#база_данных
📌Сегодня многие обсуждают появление очередной базы даных российских автовладельцев. В России надо жить долго: 20 лет назад такие базы с данными автомобилей и автовладельцев свободно продавались на CD-дисках на Горбушке, позже на специализированных ресурсах можно было заказать "глобалку" на жестком диске - ее привозил курьер, сейчас — скачать на торрентах или купить на хакерских форумах. Удивляться не стоит.

🕵️‍♂️"Мы постоянно видим сообщения на форумах и в телеграмм-каналах о продаже баз транспортных средств, о точечном пробиве "по базам ГИБДД" , — замечает Дмитрий Шестаков, руководитель группы исследования киберпреступности Group-IB. — Зачастую эти данные довольно старые, многие представляют собой компиляцию информации из разных источников — от автодилеров, автосервисов или госведомств".

👨‍💻Что касается конкретной базы, то ссылку на торрент с этой базой на одном из андеграундных форумов 13 мая выложил пользователь с ником kopernik. По его словам, база содержит около 129 миллионов записей, размер - 24 Гб. Это может быть как компиляция, так и утечка из одного источника. До этого случая пользователь ничего не выкладывал и репутации на форумах не имеет.

☠️Опасность в том, что эти данные могут быть использованы мошенниками, например, при обзвонах от лица банков или страховых компаний по вопросам продления КАСКО-ОСАГО, автокредитования, при рассылке фишинговых писем. Будьте бдительны!

​📌В понедельник прокуратура Москвы начала проверку после сообщений СМИ об утечке персональных данных нарушителей самоизоляции. Как писал "Коммерсант", паспортные данные таких нарушителей (около 35 тысяч) оказались в открытом доступе на сайтах для оплаты штрафов. Данные можно получить, вбивая номер начисления, который можно подобрать простым перебором, отмечало издание.

🕵️‍♂️По словам руководителя департамента системных решений Group-IB Антона Фишмана, проблемы, вероятно, могли возникнуть на внешних сервисах, не имеющих отношения к официальному порталу госуслуг, но взаимодействующими через Государственную информационную систему о государственных и муниципальных платежах (ГИС ГМП) с госорганами - налоговой, ГИБДД.

👉"Фактически это внешние платежные шлюзы, через которые нарушители проверяют и оплачивают штрафы ведомствам. И судя по сообщениям о возможности перебора для доступа к персданным нарушителей самоизоляции, разработчики подобных сервисов не уделяют достаточное внимание безопасности - не реализуют защиту от ботов, переборов, оплата и проверка возможна без авторизации. Также госорганы, которые дают возможность внешним сервисам осуществлять такое взаимодействие, должны предъявлять жесткие требования к их разработке, либо обеспечивать защиту на уровне самих интерфейсов", - указал он.

🇦🇿Kapital Bank и Group-IB сообщают об успешном внедрении комплекса для проактивного обнаружения киберугроз — Group-IB Threat Detection System (TDS). Программно-аппаратный комплекс Group-IB Kapital Bank планирует использовать для защиты своих цифровых рубежей от сложных угроз, включая целевые атаки с использованием ранее неизвестного вредоносного программного обеспечения (ВПО).

👨‍💻Kapital Bank оказывает услуги клиентам в 101 филиале и 13 отделениях по всей стране, имея самую широкую сеть обслуживания в Азербайджане. Объем активов Kapital Bank предъявляет высокие требования к качеству обслуживания физических и юридических лиц в регионе, а также к обеспечению кибербезопасности инфраструктуры банка.

👉По данным отчета Group-IB Hi-Tech Crime Trends, посвященного высокотехнологичным преступлениям, за вторую половину 2018 и первую половину 2019 года экспертами компании была зафиксирована активность 38 APT-групп (англ. Advanced Persistent Threat — «развитая устойчивая угроза», целевая кибератака), 7 из которых – новые. Уровень сложности кибератак со стороны APT также значительно вырос. Русскоязычные APT-группы остаются главной угрозой для финансового сектора в мире. Среди них - «большая тройка»: Cobalt, Silence и MoneyTaker.

​#Фишинг #Курьерские_сервисы

Group-IB направила на блокировку почти 250 фишинговых ресурсов, работающих по схеме с фейковой курьерской доставкой товаров, заказанных через Интернет.

Впервые появление этой схемы специалисты Центра реагирования на киберинциденты CERT-GIB зафиксировали в августе прошлого года после жалоб пострадавших. Однако пик активности пришелся на весну 2020 года в период самоизоляции и карантина. За последние полгода количество регистраций фишинговых доменов, направленных на бренды курьерских служб, выросло в 7 раз.

Размах этой преступной схемы огромен, она постоянно масштабируется. Например, одна из крупных преступных групп, называющая себя Dreamer Money Gang (DMG), нанимает наемных рабочих - воркеров через телеграм-бот и обещает обучение, «лучшие домены на рынке» и быстрые выплаты без скрытых процентов. Ежедневный оборот DMG превышает 200 000 рублей. Примечательно, что выручка другой преступной группы стремительно росла в последние месяцы: 784.600 рублей (январь), 3 ,5 млн руб (февраль), 6,2 млн рублей (март), 8,9 млн руб (апрель).

#Фишинг #Курьерские_сервисы

🕵️‍♂️Теперь расскажем, как работает схема с фейковой курьерской доставкой товаров

📌На популярных сервисах бесплатных объявлений злоумышленники размещают так называемые «лоты-приманки» — объявления о продаже по намеренно заниженным ценам товаров — фотоаппаратов, игровых приставок, ноутбуков, смартфонов и так далее.  

📌Покупатель, заинтересовавшись выгодным предложением, связывается с продавцом, а тот предлагает продолжить обсуждение покупки и доставки товара в одном из популярных мессенджеров. Здесь злоумышленники запрашивают у жертвы контактные данные (ФИО, адрес и номер телефона) якобы для оформления доставки через курьерскую службу. Затем жертве присылают ссылку якобы на один из сайтов популярных курьерских служб — на деле сайт оказывается фишинговой страницей.

📌Здесь, на фейковой странице заказа, злоумышленник заранее заполняет форму для отправки посылки, используя полученные от покупателя данные. Жертве предлагается проверить корректность информации и совершить оплату товара, введя данные своей банковской карты. Средний чек одной такой «покупки» составляет примерно 15 000-30 000 рублей.

📌Часть жертв обманывают повторно — «разводят на возврат». Через некоторое время после оплаты товара покупателю сообщают, что на «почте» произошло ЧП. Легенда может быть любой, например, сотрудник почты якобы пойман на краже, а заказанный товар конфисковала полиция, поэтому для компенсации перечисленной суммы необходимо оформить «возврат средств». Понятно, что на деле с карты происходит повторное списание той же суммы.

Сотрудники CERT-GIB совместно со специалистами СДЭК и Авито подготовили рекомендации, как не стать жертвой мошенников:

👉Большие скидки на товары  — один из признаков того, что «лот-приманка» на сайтах бесплатных объявлений создан мошенниками. Будьте осторожны.
👉Пользуясь услугами сервисов по продаже новых и б/у товаров, не уходите в мессенджеры, ведите всю переписку только в чате сервиса.
👉Не заказывайте товар по предоплате — оплачивайте только тогда, когда получили товар и убедились в его исправности.
👉Прежде, чем ввести в какую-либо форму данные своей банковской карты — изучите адрес сайта, «загуглите» его и проверьте, когда он был создан. Если сайту пара месяцев — с большой долей вероятности он мошеннический. Доверяйте только официальным сайтам. Например, официальный сайт — cdek.ru, а остальные адреса — cdek[.]nu, cdek[.]in, cdek[.]at, cdek-box[.]ru, cdek-dostavka[.]info прямо указывают на подделки.

​Админы, воркеры и прозвонщики: роли типичной мошеннической группы, работающей по схеме "Курьер"

В процессе исследования «курьерской схемы» командой CERT-GIB выявлены десятки разрозненных преступных групп, специализирующиеся именно этом типе мошенничества. Роли в группе и размер вознаграждения каждого участника четко распределены.  Коммуникации, обучение «новичков» и внутренняя бухгалтерия организованы с помощью телеграм-ботов.

☠️Костяк группировки составляют «админы», они же «саппорты» или «модераторы», которые занимаются регистрацией доменов, созданием фишинговых ресурсов под фейковые «курьерские службы», а также рекрутингом и распределением похищенных денег.

☠️На  андеграундных форумах или в телеграм-каналах админы по объявлению нанимают сотрудников — «воркеров», которые размещают многочисленные «объявления-приманки» на популярных сервисах бесплатных объявлений, общаются с жертвами (их чаще всего именуют «мамонтами») в мессенджерах и отправляют их на фишинговые страницы «курьерских сервисов» для оплаты товара. Все сделки и транзакции «воркеров» отображаются в телеграм-боте: сумма, номер платежа и ник-нейм «воркера». В одном из чат-ботов фигурируют многочисленные переводы на суммы от 7 300 до 63 900 рублей — сначала деньги падают на счета «админа», затем он распределяет доходы на остальных участников группы. Как правило, «воркеры» получают 60%-80% от суммы транзакции в криптовалюте — «админы» оперативно переводят деньги им на криптокошельки.

☠️ Схему с «возвратом» отрабатывают так называемые «прозвонщики» или «возвратчики», выступающие в роли «операторов» службы поддержки» курьерских сервисов. Связавшись с жертвой по телефону или в мессенджерах, они предлагают оформить возврат. Как и описано выше: при этом происходит повторное списание средств с карты потерпевших. Прозвонщик может получать как фиксированную сумму, так и процент от украденных денег — от 5% до 20%.

​#AntiPiracy

☠️Пиратский рынок снова поднял голову и пытается расти на фоне карантина и тревожных новостей, распространяя влияние, вирусы и агрессивную рекламу, пишет «Лента.ру». Несколько лет назад казалось, что большинство стран навсегда победили нелегальный и опасный контент, однако эксперты отмечают, что новые реалии изменили правила игры.

☠️Весной 2020 года аналитики из британской компании MUSO заметили, что на фоне глобальной изоляции пользователи сети стали чаще интересоваться нелегальным контентом. Россия в составленном антирейтинге оказалась на втором месте, первыми в потреблении пиратской музыки и фильмов стали американцы: за март текущего года жители США посетили пиратские сайты более миллиарда раз. На третьем месте — Индия с 581 миллионом визитов на такие страницы. Россияне оказались статистически посередине с 727 миллионами кликов.

👉Пользователь не виноват, а рынку стоит сосредоточиться на трех китах: маркетинговом продвижении легальных кинотеатров, защите контента и его недоступности для пользователя, уверен руководитель департамента защиты интеллектуальной собственности Group-IB Андрей Бусаргин.

👉«Если карать потребителя — наступят 2000-е, все будут на флешке передавать. Еще не хватало людей штрафовать за пиратку», — шутит Бусаргин. Он привел в пример успешную работу крупных музыкальных сервисов (таких как Apple Music или Яндекс.Музыка): если предлагать качественный контент на удобной платформе, большинству проще купить подписку, чем долго качать, заливать на телефон и адаптировать пиратскую музыку. «Качество сервиса победило пиратство. Усложнение техники позволило создать удобный сервис, победивший неудобные», — заключил эксперт.

📌Подробнее о том, каким образом боролись с пиратами до 2020 года, как и почему россияне полюбили легальный контент и какие опасности могут ждать пользователей в ближайшем будущем — в материале «Ленты.ру».

​#ProLock
👉После того, как мир облетела новость об атаке шифровальщика ProLock на производителя банкоматов Diebold Nixdorf, Олег Скулкин, ведущий специалист Лаборатории компьютерной криминалистики Group-IB,  впервые описал основные тактики, техники и процедуры (TTPs), используемых операторами ProLock. Пост Group-IB обошел ведущие профильные международные издания. Для тех, кто не успел с ним ознакомиться — публикуем перевод   в блоге на Хабре.

#аудит #пентест

Экспресс-анализ защищенности внешнего периметра

👉Group-IB запускает новую услугу, которая позволит за 10 дней качественно оценить защищенность внешнего периметра и получить рекомендации по решению обнаруженных проблем.

👉Будьте в курсе слабых мест безопасности ваших сервисов, чтобы предотвратить эксплуатацию уязвимостей и минимизировать временные затраты и финансовые потери.

По результатам экспресс-анализа вы сможете:

📌обнаружить существующие уязвимости
📌 снизить потенциальные риски для компании
📌 начать применение рекомендаций для устранения уязвимостей и недостатков безопасности
📌получить в подарок оценку соблюдения парольной политики, выявление словарных и легко угадываемых паролей пользователей и другие бонусы от Group-IB.

Узнать больше об экспресс-анализе и заказать расчет можно здесь.

​#AntiPiracy

👨‍💻На выходных в Газете.ру вышла интересная аналитика о том, что происходит с пиратством в России и как западные сервисы могут  поучаствовать в борьбе с нелегальным контентом.

👉По данным исследования ИА TelecomDaily, совокупная выручка официальных онлайн-кинотеатров, работающих в России, по итогам 2019 выросла на 45% и достигла 27 млрд руб. При этом доля Netflix, одной из самых популярных в мире стриминговых площадок, составила всего 4%, хотя российский зритель явно заинтересован в просмотре производимого ей контента. Это относится и к не менее популярной HBO (которая занимается дистрибуцией своего контента через «Амедиатеку»).

🕵️‍♂️Руководитель департамента защиты интеллектуальной собственности Group-IB Андрей Бусаргин отмечает, что
международное сотрудничество в области борьбы с пиратством вполне возможно: «Одна из проблем, которую можно решить всем вместе – это трансграничность передачи данных. В каждой стране есть масса собственных законов, при этом хостинги могут быть разбросаны по всему миру, видеобалансеры (CDN, которые предоставляют плеер пиратам) также рассредоточены по разным государствам, и чтобы все это консолидировать, границы стран и местные законы не должны мешать».

🕵️‍♂️Яркий пример подобной координации – в прошлом году Group-IB опубликовала доклад о структуре пиратского рынка, в котором подчеркнула ведущую роль пиратских CDN-сервисов. По следам доклада европейские ассоциации правообладателей совместно с полицией добились закрытия наиболее популярного на тот момент CDN-сервиса Moonwalk. Нидерландскими судебными приставами были отключены сервера у 3 местных провайдеров, а также 2 иностранных компаний, сервера которых находились на территории страны. В итоге ко дну прошла «Большая пиратская тройка»: одновременно с Moonwalk прекратил существование балансер HDGO, а балансер Kodik утратил значительную часть контента.

#карьера

👉В международной компании Group-IB зажглось множество ярких карьерных звезд ⭐️, но история Андрея Бусаргина – пример самого молодого self-made топ-менеджера компании, стремительно пролетевшего на карьерном лифте все этажи:
📌 студента-джуниора с паяльником из отдела восстановления данных,
📌 начальника отдела защиты бренда,
📌 директора департамента по защите интеллектуальной собственности Brand Protection и Anti-Piracy,
📌 и, наконец, заместителя генерального директора Group-IB по направлению интеллектуальной защиты бренда.
👨‍💻Девять лет назад Андрей, тогда еще студент-третьекурсник Бауманки,  пришел на собеседование в Лабораторию компьютерной криминалистики Group-IВ и быстро завоевал доверие у будущего руководителя:  
— Что умеешь?
— Вообще все. А если не умею — научусь.
За это время Андрей не только делал карьеру, стал экспертом по направлениям Brand Protection и Anti-Piracy, но и создал два независимых, финансово успешных и постоянно развивающихся бизнес-направления. Поздравляем Андрея с заслуженным повышением и новой карьерной ступенькой! Желаем удачи и мощных побед, прежде всего на международных рынках!
👍Кстати, стремительное развитие Group-IB – это не только интенсивный найм (сейчас в нашей 80+ открытых вакансий — присоединяйтесь к силам добра!), но и карьерный рост наших звезд ⭐️ внутри компании. Здесь можно начать преджуониром и с годами стать главой бизнеса, а то и двух, под «зонтом» Group-IB!