​#антифрод #securebank

👨‍💻Банки попросили блокировать сомнительные операции без ответа клиентов, выяснило РБК.  Сейчас финансовые организации должны возобновлять подозрительные операции спустя два дня блокировки, даже если не удалось подтвердить легитимность перевода у клиента.

🕵️‍♂️Замруководителя Лаборатории компьютерной криминалистики Group-IB Сергей Никитин уверен, что у многих банков есть огромные проблемы с детектированием подобных подозрительных платежей, поскольку они "непростительно мало используют продукты проактивного предотвращения банковского мошенничества на основе поведенческого анализа и цифровых отпечатков устройства".

👉Как быстро клиенты банка могут понять, что стали жертвой мошенничества? Это, по мнению эксперта, зависит от преступной схемы - если  похищают все деньги со счета, и клиент это видит, то практически сразу может связаться с банком. Если жертва сама переводит деньги мошенникам, например, за некий «налоговой сбор», юридическую помощь в оформлении выигрыша,  фейковую доставку или для игры на бирже, то может пройти время, когда человек поймет, что его обманули. Плюс далеко не все 24\7 мониторят уведомления от «Клиент-банка», особенно в ночь с пятницы на субботу.

📞Клиенту связаться с банком сейчас не проблема, а вот наоборот - могут быть сложности. Сейчас люди очень подозрительно относятся к телефонным звонкам из банков, поскольку подобные схемы вишинга активно используют мошенники, в том числе с подделкой исходящего номера. Поэтому даже легальный звонок из банка должен быть и будет сброшен клиентом и он должен сам перезвонить в отделение.

#энергетика #COVID19

👨‍💻Этой весной 40% сотрудников ПАО "Россети" — это почти 90 000 человек — перешли на удаленную работу, но удаленка не снизила их эффективности, а по некоторым департаментам результаты даже выросли, заявил сегодня на онлайн-конференции «Энергетика во время и после COVID-19» Павел Ливинский, генеральный директор ПАО «Россети».

👍«Спасибо энергетикам, что мы ни на секунду не остановили свою работу, — заметил во время своего выступления Илья Сачков, CEO Group-IB. — Вообще я настроен мегапозитивно насчет будущего удаленной работы. Последние месяцы показали, что даже небольшими средствами и небольшими командами можно настроить безопасную работу. Однако не надо забывать, что, если с точки зрения киберугроз ничего не происходит, значит, угроз как бы и нет — это опасная иллюзия. Для энергетического сектора кибератаки происходят незаметно (до 90% процентов не были задетектированы до самого последнего момента Kill Chain), но последствия могут быть самыми серьезными».

✅CEO Group-IB напомнил, что неважно, выходят ли сотрудники с удаленки или остаются работать из дома, необходимо в обязательном порядке всем пройти проверку по этим рекомендациям и чек-листам.

​⚡В июле Group-IB представит TDS Industrial — новое решение линейки Threat Detection System (TDS) — для выявления атак на ранних стадиях в технологическом сегменте промышленных объектов и крупных производственных предприятий.

💣Атаки на такие объекты незаметны и зачастую длятся годами: TDS Industrial способен выявлять кибератаку на любом этапе: проникновения злоумышленников в технологическую сеть, горизонтального перемещения по сети, эксплуатации уязвимостей на подключенных устройствах и в сетевом оборудовании, сбора индикаторов об узлах сети, модификации алгоритмов работы и вмешательства в технологические процессы.

👉Что умеет TDS Industrial?
✅TDS Industrial поддерживает самый широкий перечень протоколов – сетевых, промышленных и проприетарных (от производителей оборудования АСУ ТП Siemens, Schneider Electric, Rockwell Automation, Emerson).
✅Как и все продукты Group-IB, новый TDS Industrial сфокусирован на активном поиске угроз с использованием данных киберразведки, изучении поведения вредоносного кода в изолированных средах, исследование инфраструктуры атакующих.
✅Преимуществом внедрения TDS Industrial является удаленное реагирование в режиме 24/7 и компьютерная криминалистика от сертифицированной команды специалистов Group-IB.

👨‍💻Концептуальный подход Group-IB к созданию TDS Industrial основан на разделении защитных механизмов корпоративного и технологического сегментов сети, что позволяет крупным промышленным объектам и производственным предприятиям минимизировать вероятность саботажа, умышленной аварии на производстве, шпионажа, кражи интеллектуальной собственности, а также целевых атак и угроз «нулевого дня».

👉Когда состоится лонч?
Онлайн-презентация нового продукта Group-IB TDS Industrial состоится 2 июля, в 11:00 (МСК).
Регистрируйтесь на онлайн-презентацию, задавайте свои вопросы в режиме реального времени.

#COVID_fake
Стилер Loki PWS рассылают под видом письма от министра здравоохранения Казахстана
🔻 Дата первой рассылки: 15 июня
🔻 Тема письма: кововид-19 қорғаныс құралдарын тегін тарату (Қазақстан Республикасы Денсаулық сақтау министрлігі)
🔻 Степень опасности: Malware
🔻 Семейство:  Loki PWS
🔻 Функционал: Password Stealer  (кража логинов-паролей)
🔻 Получатели:  компании, госведомства Казахстана, местные офисы российских и международных компаний.

👉В Казахстане борьба с коронавирусом в самом разгаре — с учетом роста числа заболевших (заразился даже бывший президент Нурсултан Назарбаев) власти в эти выходные вновь закрывают торгово-развлекательные центы, сетевые магазины, рынки и базары. На фоне введения новых ограничительных мер киберпреступники провели вредоносную рассылку, замаскированную под  обращение министра здравоохранения Республики Казахстан, фиксирует CERT-GIB.

👉В письме злоумышленники от имени министра сообщают о возможности  бесплатно получить защитные средства и оборудование в рамках госпомощи в связи с пандемией коронавируса. Получателям необходимо лишь заполнить приложенную анкету-форму и отправить по обратному адресу.

👉По данным аналитиков CERT-GIB, во вложении письма находились документы, при запуске которых на компьютер  устанавливалась вредоносная программа из семейства Loki PWS, предназначенная для кражи логинов и паролей с зараженного компьютера. Похищенные данные автоматически отправляются злоумышленникам, и могут быть проданы на хакерских форумах или использоваться для получения доступа к почтовым аккаунтам для  финансового мошенничества или шпионажа.

👉Напомним, что уже с начала 2020 года тема коронавируса активно использовалась в фишинговых атаках для компрометации электронной почты сотрудников компаний из США, Новой Зеландии, России, СНГ и стран APAC.  Начиная с середины февраля  система предотвращения сложных киберугроз Threat Detection System (TDS) Group-IB перехватила сотни опасных писем, замаскированных под информационные и коммерческие рассылки о COVID-19. Из них почти 65% вредоносных рассылок несли «на борту» программы-шпионы (spyware), второе место занимают бэкдоры — 31%, на шифровальщики приходится около 4%. ТОП-3 наиболее активно эксплуатируемых шпионских программ возглавил троян AgentTesla. Сами фейковые письма были написаны как на русском, так и на английском языках от имени авторитетных международных организаций, связанных со здравоохранением (ВОЗ, ЮНИСЕФ), а также и крупных российских и международных компаний. Рассылки были направлены как в коммерческий, так и в государственный секторы России и СНГ.

​#Хабр #GitHub
Наверное, каждый из тех, кто читает эту статью, хорошо знаком с GitHub — крупнейшим веб-сервисом для хостинга IT-проектов и их совместной разработки. Здесь можно найти почти любой open source-проект. Для компиляции проекта может быть нужен какой-то специфический софт, которого прямо сейчас у пользователя нет, да и сам процесс сборки из исходников требует определенных знаний и опыта. Понимая это, разработчики, помимо исходного кода, очень часто размещают на гите готовые бинарные файлы. Илья Померанцев, специалист по анализу вредоносного кода CERT Group-IB, на примере реального кейса показывает, как использованием непроверенного чужого кода может привести к потере криптовалюты.

​Открыта регистрация на вебинар "Как стать специалистом по информационной безопасности с нуля"

🕵️За последний год более 300 специалистов крупнейших международных компаний прошли обучение у тренеров Group-IB и получили сертификаты по информационной безопасности, методам поиска, анализа и противодействия киберугрозам. Но у нас много заявок от тех, кто не является специалистом в кибербезе, но очень хотел бы таким стать.

👨‍💻Специально для них совместно Нетологией мы запускаем партнерский курс "Специалист по информационной безопасности".

👉Слушателей ждет 7-месячное погружение в профессию, в рамках которого они:
📍 получат практические знания, основанные на экспертизе Group-IB, необходимые для старта карьеры в ИБ
📍познакомятся с реальным опытом борьбы с современной киберпреступностью
📍узнают, как проводить криминалистическое исследование и реагирование на инциденты в организациях
📍 смогут претендовать на позицию junior-специалиста по завершении курса
📍лучшие выпускники смогут пройти стажировку в Group-IB.

👉23 июня в 16:00 пройдет бесплатное онлайн-занятие, на котором эксперт Group-IB Анастасия Баринова расскажет о работе сотрудников Group-IB, новых профессиях и о содержании предстоящего обучающего курса. Регистрируйтесь тут и присоединяйтесь к нашему вебинару!

​⚡За период пандемии, по данным МВД, рост IT-преступности составил 82,4% и большая часть приходится на финансовое мошенничество с использованием социальной инженерии. Злоумышленники использовали известные бренды и темы, связанные с коронавирусом, при рассылках вредоносных писем, создании фишинговых ресурсов, фейковых сообщений и групп в соцсетях.

Приглашаем вас на совместный вебинар Group-IB и CMS Russia, где обсудим:

📌Примеры мошеннических схем, эксплуатирующих тему пандемии (Group-IB)
📌Технические способы защитить бренд от подобных атак (Group-IB)
📌Юридические варианты реагирования (CMS Russia)

⏰Вебинар состоится 23 июня в 14:00 МСК. Регистрация здесь.

​👨‍💻Крупные банки зафиксировали рост активности мошенников, создающих сайты-клоны официальных ресурсов кредитных организаций. Об этом РБК рассказали представители ВТБ и Альфа-банка и подтвердили эксперты Group-IB.

👉"Фишинговые сайты под финансовый сектор всегда были востребованы киберпреступниками, поскольку в основной своей массе они финансово мотивированы и следуют за деньгами, — говорит Александр Калинин, руководитель CERT-GIB. — Тенденция роста финансового мошенничества в период пандемии - общемировая и этот рост этот составляет десятки процентов. В период самоизоляции, по нашим оценкам, выросло количество сервисов, принимающих платежи онлайн, фейковых курьерских сервисов, ритейла".

👉Напомним, что по данным МВД РФ, в январе-апреле 2020 года рост IT-преступности  составил 82,4%. Group-IB фиксировала, в первую очередь,  рост числа финансовых мошенничеств с использованием социальной инженерии — вишинга, фишинга, жертвами которых становились, в основном, клиенты банков.

⚡"Полученные с помощью фишинга учетные данные от личных кабинетов или данные банковских карт, мошенники могут или сами использовать для кражи денег или перепродать на хакерских форумах другим злоумышленникам. Дальше они могут быть использованы в разных схемах  — от телефонного мошенничества до вымогательства. Даже если у жертвы нет денег на счету, известны случаи, когда на клиента банка прямо в личном кабинете оформляли кредит и эти средства выводили на сторонний счёт",  — предупреждает Александр Калинин.

⚡️Сегодня Group-IB представляет аналитический отчет «Fxmsp: невидимый бог сети», раскрывающий личность хакера под ником Fxmsp — одного из самых активных продавцов доступов в корпоративные сети компаний, предоставлявшего свои услуги в даркнете около 3-х лет. За это время он скомпрометировал порядка 135 компаний в 44 странах мира. По минимальным оценкам прибыль Fxmsp за период его активности могла составлять 1,5 млн долларов (около 100 млн. руб.).

🕵️‍♂️Материалы расследования по Fxmsp переданы в международные правоохранительные органы.

#Fxmsp

🕵️‍♂️👉Данные, полученные в ходе исследования с использованием системы Group-IB Threat Intelligence, позволили выявить инструменты, которые использовал Fxmsp для компрометации компаний, определить — с большой степенью точности — число его жертв, а также установить предполагаемую личность киберпреступника. Отчет Group-IB поэтапно раскрывает, как из рядового пользователя даркнета, начинавшего с майнинга криптовалюты, менее чем за 3 года русскоязычный хакер Fxmsp, по самым скромным подсчетам, заработал около 1,5 млн. долларов — и это без учета продаж в «привате», лотов без указания цены, а также повторных продаж доступов в сети компаний-жертв.

👉Вместе со своим сообщником под ником Lampeduza, взявшим на себя рекламу и сопровождение всех сделок, в период с октября 2017 по сентябрь 2019 они выставили на продажу доступы в 135 компаний из 44 стран мира, включая США, Россию, Англию, Францию, Италию, Нидерланды, Сингапур, Японию, Австралию и многие другие. Несмотря на негласный закон в андеграундной среде не работать «по РУ», Fxmsp продавал два лота по российским жертвам, за что был «забанен» модераторами форума, но это не остановило преступника.

#Fxmsp
👨‍💻Продолжая тему #Fxmsp, расскажем о пострадавших. Топ-3 его жертв составляют предприятия легкой промышленности, провайдеры IT-сервисов и ритейл. Среди атакованных Fxmsp компаний была и «крупная рыба»: так, 4 из них входят в рейтинг “Global 500 | Fortune” за 2019 год. В послужном списке Fxmsp присутствуют банки, ТЭК, телекоммуникационные операторы, а также организации энергетического сектора. Одна из них в летом 2020 года пострадала от атаки шифровальщика. Скачать отчет можно тут

❓Тут возник вопрос, чем опасна утечка данных пользователей Telegram, о которой вчера вечером сообщил kod.ru.

👨‍💻База содержит telegram_id, ники и номера телефонов пользователей — подобную информацию с помощью ботов часто собирают маркетинговые и рекламные агенства для своих коммерческих нужд, правоохранительные органы разных стран и, конечно, злоумышленники.

👉Как можно эти данные использовать? Иногда, зная связку ник и телефонный номер, можно понять, кто скрывается за тем или иным псевдонимом. Зная telegram_id, можно вести ретроспективный анализ используемых псевдонимов, номеров телефонов, других регистрационных данных.

🕵️‍♂️ В принципе, для деанона скамеров, разного пошиба мошенников, вымогателей и так далее - тема вполне рабочая. Разумеется, многие из киберпреступников очень острожны  - регистрируют свежие учетки, используют левые сим-карты, почтовые сервисы с шифрованием (ProtonMail, например).  Поэтому для их деанона применяются другие инструменты и схемы.

Group-IB участвует в конференции TAdviser IT Security Day

👨‍💻30 июня Антон Фишман, руководитель департамента системных решений Group-IB,  на конференции TAdviser IT SECURITY DAY 2020 расскажет об актуальных киберугрозах 2020 года, а также о новых технологических трендах предотвращения кибератак.

👉Вызовы текущего года, связанные с пандемией, переходом на удаленную работу и ростом числа кибератак и финансовых мошенничеств, поставили перед бизнесом нестандартные задачи. Как защитить свою инфраструктуру, сотрудников и активы?

👉Антон Фишман расскажет:

📍Какие киберугрозы появились в последнее время для малого и среднего бизнеса, клиентов банков

📍Как обеспечить  безопасное возвращения сотрудников из дома в офисы и #StayCyberSafe

📍Кейсы и возможности применения Group-IB Threat Detection System в качестве средства защиты от меняющихся современных угроз.

Group-IB является официальным партнером конференции IT SECURITY DAY 2020. Присоединяйтесь, чтобы узнать подробности и подключиться к трансляции.

​#сетевой_граф #Threat_Hunting #Threat_Intelligence

🕵️ Группа хакеров в течение нескольких лет проводила фишинговые атаки на клиентов банков в разных регионах мира — злоумышленники штамповали сайты-клоны, стараясь украсть логины и пароли пользователей для входа в интернет-банкинг. Мы взяли один из доменов хакеров, прогнали его через нашу систему автоматизированного графового анализа и нашли ещё 250 вредоносных доменов, которые группа использовала в течение последних четырёх лет. Граф показал, что в 2019 году хакеры изменили тактику и начали регистрировать не только домены банков для отправки фишинговых писем, но и домены различных консалтинговых компаний. Полученная информация помогла предотвратить новые атаки.  Magic?!

👨‍💻 Раньше сетевой граф Group-IB был суперсекретным внутренним инструментом для сотрудников отдела расследований, аналитиков Threat Intelligence и CERT, команды Red Team. С недавнего времени он стал доступен и нашим клиентам для Threat Hunting:

⚔️Расследований и атрибуции кибератак с конкретными хакерскими группами
⚔️Выявления фишинга и мошенничества
⚔️Обогащения индикаторов
⚔️Корреляции событий
⚔️Выявления паттернов атакующих
⚔️Поиска скрытой инфраструктуры злоумышленников.

👉Как анализ сетевой инфраструктуры позволяет находить киберпреступников на просторах Интернета? Ежедневно мы сохраняем снимки состояний глобальной сети и видим:
📌какие доменные имена были зарегистрированы;
📌как менялись их регистрационнные данные;
📌как менялись настройки DNS для доменов;
📌где и какие серверы активировались;
📌какие сервисы были запущены на этих серверах и снимаем их отпечатки;
📌какие вредоносные файлы взаимодействуют с серверами в глобальной сети.

👉По всем этим данным извлекаются связи, по ним строится сетевой граф, который позволяет в автоматическом режиме всего за один запрос увидеть связанную инфраструктуру и даже посмотреть, например, историю изменений регистрационных данных доменных имен или историю регистраций на хакерских форумах более чем за 10 лет!

👉Кто уже работает с сетевым графом?
Сетевой граф как воздух необходим аналитикам ситуационных центров и CERT (Центры реагирования на инциденты), экспертам по киберразведке и компьютерным криминалистам для того, чтобы исследовать тактику и инфраструктуру атакующих, улучшать собственную систему безопасности и обогащать свои навыки в области хантинга.