👉Уже 22 июля стартует трехдневный онлайн-интенсив «Аналитик SOC», на котором специалисты Group-IB помогут вам получить практические навыки мониторинга, поиска и реагирования на киберугрозы.

📌 Вы научитесь отслеживать решения, обеспечивающие информационную безопасность организации;
📌приобретете навыки быстрой оценки ситуации и принятия решений о необходимости дальнейшей эскалации инцидента или об отсутствии угрозы;
📌выполните множество практических заданий под руководством экспертов;
📌получите именной сертификат Group-IB.

Ждем вас! Подробная информация и регистрация тут

👉После вчерашней атаки на Twitter, в результате которой были захвачены аккаунты ведущих политиков, бизнесменов и звезд шоу-бизнеса, председатель совета Фонда защиты прав инвесторов в иностранных государствах Ярослав Богданов заявил о необходимости создания «Цифрового ООН» —  Глобального цифрового альянса (GDA).  Богданов уверен, что в отношении атакующих, независимо от того гражданами какой страны они являются, должны действовать не законы отдельных государств, а единые нормы и законы, разработанные «Цифровым ООН». Юрист назвал еще один немаловажный плюс создания GDA – это независимость, поскольку глобальные корпорации, как показала атака на Twitter, сильно зависимы от местных правительств, не способны предотвращать и быстро реагировать на кибератаки.

Компания Group-IB, резидент «Сколково», поддержала Летний институт, который в этом году проходит при поддержке НИУ ВШЭ и Благотворительного фонда Сбербанка «Вклад в будущее». Система школьного образования в регионах нуждается в развитии и помощи.

Илья Сачков, генеральный директор компании Group-IB, на деле подтверждает свои недавние высказывания о среднем образовании, которые он озвучил на конференции с Михаилом Мишустиным.

@skolkovoleaks

#VPN
👆Не все VPN одинаково полезны. В те былинные времена, когда Роскомнадзор сражался с Telegram, и почти 50% пользователей в России решили установить себе прокси-сервисы или VPN, в основном, конечно, халявный, уже тогда эксперты Group-IB предупреждали об опасности. Самое время повторить.

👉Во-первых, на волне хайпа «Не дадим Большому брату ни малейшего шанса» появилось большое количество бесплатных VPN, которые не обеспечивали безопасность, а с точностью наоборот, напоминает Сергей Никитин, замруководителя лаборатории компьютерной криминалистики Group-IB. Если такой сервер создали и контролируют киберпреступники, то весь трафик пользователей они могут перехватывать, перенаправлять на левые фишинговые сайты, собирать незашифрованные данные — и так могут утечь пароли, переписка в почте и т. д.

👉Во-вторых, были случаи, когда вредоносные программы маскировались под VPN-приложение , например, программа-шпион мимикрировала под VPN от известного российского интегратора.

👉В-третьих, всегда есть риск утечки данных. Что собственно и происходит. Исследователи из vpnMentor обнаружили в открытом доступе данные более 20 миллионов пользователей бесплатных VPN-решений, сообщил сегодня "Коммерсант". Речь идет о приложениях UFO VPN, Fast VPN, Free VPN, Super VPN, Flash VPN, Secure VPN и Rabbit VPN. На незащищенном сервере находятся 1,2 терабайта пользовательских данных, в том числе электронные адреса, незашифрованные пароли, IP-и домашние адреса, данные о моделях смартфонов и идентификаторы устройств. Что делать? "Мы рекомендуем использовать только проверенные платные VPN-серверы или ещё лучше "поднять" и использовать свои собственные", - заключил эксперт из Group-IB.

👉Уже завтра, 22 июля, стартует трехдневный онлайн-интенсив «Аналитик SOC», на котором специалисты Group-IB помогут вам получить практические навыки мониторинга, поиска и реагирования на киберугрозы.

📌 Вы научитесь отслеживать решения, обеспечивающие информационную безопасность организации;
📌приобретете навыки быстрой оценки ситуации и принятия решений о необходимости дальнейшей эскалации инцидента или об отсутствии угрозы;
📌выполните множество практических заданий под руководством экспертов;
📌получите именной сертификат Group-IB.

Подробная информация и регистрация тут

#APT #China

👉На сайте Департамента юстиции США появилось обвинение двум гражданам Китая 34-летнему Ли Сяою (李家家) и 33-летнему Дон Цзячжи (家家志) во взломе компьютерных систем сотен частных компаний, госучреждений и неправительственных организаций, а также правозащитников и активистов в США и за рубежом, включая Гонконг и Китай. Следствие считает, что хакеры занимались кражей данных, причем работали, как на свой карман, так и, как утверждает следствие, на госбезопасность Поднебесной — Гуандунский Департамент государственной безопасности (GSSD) и Министерство государственной безопасности (MSS).

👉В поисках секретных разработок хакеры несколько лет «пылесосили» все высокотехнологичные компании, НИИ, госучреждения в США, Австралии, Бельгии, Германии, Японии, Литве, Нидерландах, Испании, Южной Корее, Швеции и Великобритании. А вот в последнее время цели у них были весьма актуальные:  фармацевтические и биотех-компании, которые разрабатывали вакцины против COVID-19, технологии тестирования и методы лечения коронавируса. Список атакованных учреждений есть в обвинительном приговоре.

«Эти хакеры не использовали в своих атаках какие-то сложные тактики и инструменты, —  замечает руководитель группы исследования сложных угроз Group-IB Анастасия Тихонова. —  В большинстве случаев они использовали известную, доступную в паблике, и часто применяемую различными китайскими APT-группами вредоносную программу «China Chopper». Этот инструмент позволяет атакующим получать удаленный доступ к серверам, на которых запущены web-приложения. Причем эту оболочку достаточно сложно обнаружить, в том числе из-за большого количества существующих версий на данный момент. Кроме этого хакеры использовали ПО для кражи учетных данных в сетях жертвы, что позволило им удаленно выполнять команды на зараженных компьютерах. И использовали недавно обнаруженные уязвимости, например, CVE-2018-15961 в ColdFusion, которая позволяла осуществлять неавторизованную загрузку файлов. Случалось, что злоумышленники повторно атаковали компании, госучреждения и организации спустя годы после первоначальной успешной кражи данных. Вполне возможно, что первые атаки хакеры совершали в корыстных интересах и продавали собранную информацию госструктурам Китая,  а после наработанного опыта и успешной работы, вполне могли быть завербованы, и войти в одну из многочисленных прогосударственных APT-групп».

👌Респект Gleb Ryaskin и TS Solution за предметный разбор комплекса Group-IB Threat Detection System (TDS) . В будущем автор планирует публиковать на Хабре отдельные обзоры модулей TDS с различными примерами тестов. Следите за анонсами!

#AntiPiracy #Gambling
⚔️Слышите грохот? Это взлетают на воздух пороховые склады, бастионы и таверны Тортуги. После массированной артподготовки мы начинаем атаку на пиратскую гавань. Тем более, что и поводов для объявления войны онлайн-флибустьерам и их многочисленным союзникам накопилось предостаточно.

⚔️В 2019 году после закрытия двух  крупнейших пиратских видеобалансеров Moonwalk, HDGO и временной блокировки Kodik, снабжавших нелегальным контентом до 90% онлайн-кинотеатров России и СНГ, пиратский рынок впервые после 5 лет роста просел с $87 млн. (2018) до $63,5 млн. (2019). Впрочем, пираты довольно быстро оправились от удара.  Уже в конце прошлого года индустрия нелегального распространения контента смогла привлечь инвестиции, перегруппироваться и использовать новые технические возможности для активного противодействия не только правообладателям, но и правоохранительным органам.

⚔️Сегодня мы публикуем исследование, которое подробно рассказывает о том, как выглядит пиратская индустрия в 2020 году — без купюр, С блэкджеком и шлюпками. Group-IB поименно называет основных бенефициаров пиратских онлайн-кинотеатров и пиратского спортивного стриминга, а также тех, кто предоставляет пиратам серверные мощности. Несмотря на то, что большинство бенефициаров пиратского бизнеса находятся на Украине, для финансовых переводов они используют российские банки и платежные системы, не кодируя платежи, как того требуют международные нормы. Копии отчета направлены в российские и международные правоохранительные органы, Администрацию президента и законодательные органы власти РФ, Ассоциации правообладателей и регуляторам.

#AntiPiracy #Gambling

Давайте посмотрим, кто греет руки на гемблинге и пиратском золоте? По международным стандартам онлайн-казино и букмекеры должны получать специальный код MCC 7995 (Merchant Category Code, — «код категории продавца»), и в США транзакции онлайн-казино были прекращены именно через блокирование кода, а нарушение кодирования до сих пор влечет значительные штрафы от $25 000 за каждый инцидент.

Однако в России многие банки и платежные системы (да практически все!) не кодируют прием платежей как MCC 7995, а онлайн-казино указывают другие коды MCC. Например, в свое время казино Azino использовало код 6012 (продажа справок и услуг, а также выдача займов). Авторы исследования С блэкджеком и шлюпками отмечают, что поведение банков игнорируется платежными системами Visa, Mastercard и МИР в России, что идет вразрез с правилами самих платежных систем и положениями ЦБ России, и нуждается в проверке. Group-IB направила копии отчета в Генпрокуратуру РФ, Госдуму, Администрацию президента, российские и международные правоохранительные органы, а также в головные организации Visa и Mastercard.

Источник РБК в одной из платежный организаций подтвердил, что ряд российских банков-эквайеров, «в том числе крупнейших и с государственным участием», обслуживает нелегальные интернет-казино и букмекерские конторы. По его словам, такая деятельность осуществляется через цепочку платежных посредников как в российской юрисдикции, так и за рубежом. «Пресечение подобной практики возможно только при активном содействии со стороны международных платежных систем, которые обязаны реагировать на выявленные случаи мискодинга (подмены кода. — РБК) и направлять соответствующие предписания и штрафы банкам-эквайерам», — отметил он.

#AntiPiracy #Gambling

На минуту давайте прекратим стрельбу и прильнем к экранам — Андрей Бусаргин, зам генерального директора Group-IB, рассказывает, что происходит сейчас в пиратской гавани, и как онлайн-корсары нашли общие темы с онлайн-казино, букмекерами и киберкриминалом, и как это спрут захватывает новые акватории Латинской Америки и Азии.  https://youtu.be/nrX2PE4UtOo

#APT #Lazarus

👉С объятой пламенем Тортуги перенесемся в Пхеньян, к пустующему недострою - гостинице Рюгён. В России не зря сегодня вспоминают о северокорейских хакерах —  группа Lazarus, сообщает КоммерсантЪ, активно атакует через приложения для трейдеров криптовалют, чтобы красть информацию для доступа к кошелькам и биржам, а также собирает исследования и промышленные данные. Особенно Lazarus интересует военно-космическая сфера, энергетика и IT .
👉В начале 2019 года хакеры целую неделю проводили целенаправленную кампанию против российских компаний, используя документы, созданные специально для русскоязычной аудитории, подтверждает руководитель группы исследования сложных угроз Group-IB Анастасия Тихонова. По ее словам, есть у Lazarus и повышенный интерес к криптовалютам. Для лучшего распространения и убедительности фейковых приложений хакеры создают вебсайты и аккаунты в социальных сетях от имени платформы. Например, в июне 2020 Group-IB в последний раз фиксировали вредоносные приложения под именем «Coin Go Trade», «Kupay Wallet» и «Dorusio Wallet», созданные и для Windows, и для Mac.  Еще одна новая методика Lazarus, по словам эксперта, была зафиксирована на одном из сайтов для покупок в зоне .ru: при оплате биткойнами адрес получателя менялся так, что деньги уходили злоумышленникам. Скорее всего, интерес Lazarus к РФ обусловлен не только корыстными, но и политическими факторами, так как Россия активно выступает за диалог между Южной и Северной Кореей.
👉А издание «Взгляд» пытается разобраться с прошлыми нашумевшими атаками, правда ли, что китайские и северокорейские хакеры, а вовсе не российские, скорее всего, изготовили вредоносные коды WannaCry, NotPetya и Cloud Hopper. За атакой с использованием вируса WannaCry стоят спецслужбы КНДР, а именно разведбюро 121, полагает глава отдела по динамическому анализу вредоносного кода международной компании Group-IB Рустам Миркасымов. «В пользу этой версии говорит и найденный специалистом по реверс-инжинирингу из Google участок кода, в котором использовались специфические константы. Эти константы ранее применялись только в троянах группы Lazarus. Это достаточно сильные доказательства для атрибуции атаки к той или иной группе», – сказал Миркасымов.

👉Открыта регистрация на онлайн-практикум по реагированию на инциденты ИБ, который пройдет 30-31 июля. По данным Group-IB, число запросов на реагирование на инциденты ИБ в 2019 году выросло на 40%. Не упустите возможность узнать, как бороться с актуальными киберугрозами, правильно локализовать инцидент и минимизировать ущерб. За два учебных дня вы:

📌получите знания о современных типах инцидентов ИБ;
📌познакомитесь с основными подходами и инструментами;
📌получите представление о лучших практиках менеджмента инцидентов ИБ;
📌попрактикуетесь в проведении базового экспресс-анализа систем, задействованных в инциденте;
📌самостоятельно проведете расследование киберинцидента;
📌получите именной сертификат от Group-IB.

Узнать больше и зарегистрироваться можно здесь.

#Apple
👉Под вечер нагоним жути на поклонников  Apple. Исследователи из PANGU продемонстрировали  неисправимую уязвимость в SEPROM процессоров Apple. SEPROM  — это специальный загрузчик особенной области в чипе SEP, которая отвечает за "святую святых" безопасности устройства — touch\face ID, Apple Pay и сам ввод кода-пароля.

Подвержены этой уязвимости те же самые чипы ( Apple A7-A11), что и в случае с наделавшей в свое время шуму уязвимостью Checkm8. Уязвимость в SEPROM позволит злоумышленникам производить атаку путем подбора пароля без таймаута после неудачного ввода, то есть сколько угодно раз и без уничтожения данных после 10 неверных попыток.

Важно, что сама уязвимость может быть использована только при физическом доступе к устройству и, скорее всего, именно подобный способ "вскрытия" девайсов от Apple раньше использовался в инструментах для криминалистов от GrayKey и Cellebrite Premium.

😱Опасность в том, что после публикации сведений об уязвимости, инструменты для подобного рода атак, окажутся в свободном доступе и будут использованы киберпреступниками.  Поскольку сама уязвимость является неисправимой (прописана в чипе и не может быть исправлена на программном уровне, как и Checkm8), владельцам iPhone 5S - iPhone X и iPad на уязвимых чипах рекомендуется или поменять свое устройство или, как минимум, использовать код-пароль из 12 знаков и более.

🙈В последнее время обвинения в слежке за пользователями звучат постоянно: то Трамп пройдется по TikTok, то Дуров скрестит шпаги с WhatsApp, теперь вот у Instagram обнаружили «глаза и уши» —  издание The Verge, ссылаясь на информацию, полученную от пользователей iOS 14, сообщило, что приложение Instagram пользуется доступом к камере смартфона даже тогда, когда пользователь просто просматривает ленту. Как такое возможно? Ситуацию комментирует Сергей Никитин, зам руководителя Лаборатории компьютерной криминалистики Group-IB: «iOS 14 — это бета версия, которая специально выпущена для разработчиков, чтобы они могли отладить и оптимизировать свои приложения к релизу, который планируется в конце сентября - начале октября. Apple добавила в iOS 14 новый функционал, который более пристально следит за действиями приложений, в том числе, если они копируют что-то из буфера обмена или активируют камеру при использовании. К релизу ОС все эти "нештатные прямые включения" обещают исправить. Меры, которые предпринимает Apple для повышения приватности пользователей, вызывают множество проблем у компаний, которые живут за счёт контекстной рекламы, таких как Facebook и Google.   Напомню, что год назад Facebook так же засветилась в активации камеры в iOS 13».

#NotPetya #BlackEnergy

⚔️Последние три года четко показывают, как повышается градус эскалации угроз в киберпространстве. Если 2017-й стал годом эпидемий вирусов-шифровальщиков WannaCry, NotPetya и BadRabbit, а 2018-й обнаружил слабую готовность к side-channel атакам и угрозам, связанным с уязвимостями в микропроцессорах, то 2019-й год стал годом открытых военных киберопераций. В прицел исследователей все чаще попадают не финансово-мотивированные хакерские группы, а прогосударственные атакующие — APT-группы, специализирующиеся на кибершпионаже и диверсиях.

⚔️ Атаки с использованием шифровальщика NotPetya нанесла огромный ущерб бизнесу по всему миру. По информации специалистов ESET, проводивших реагирование, атака началась с компрометации украинского разработчика софта с помощью трояна Telebot, который атрибутируют к группе BlackEnergy. Именно эта группа в свое время оставила целый украинский город  без электроэнергии. Доподлинно известно, что троян разработан русскоговорящими программистами и предлагался на андерграундных площадках русскоговорящим продавцом. Но никаких проверяемых доказательств, что за атакой стоят российские спецслужбы, представлено не было. Такой вывод был сделан из-за геополитической обстановки, кроме того, атакующий преследовал деструктивные цели, не пытаясь заработать денег.

Можно ли установить, кто именно стоит за подобными атаками? Криминал или спецслужбы?

👉«Разумеется, можно,  — подтверждает Рустам Миркасымов, глава отдела по динамическому анализу вредоносного кода международной компании Group-IB. —  Для этого достаточно собрать данные об используемых в атаке серверах, пройти по всей цепочке прокси и VPN-сервисов. Тут надо понимать, что задача атрибуции - сложная и не может быть формализована. Попытки ввести формальные модели и использовать их приводят часто к ложным выводам. В реальности это очень сложная процедура, которая требует взаимодействия между полицейскими организациями разных стран. Три года назад мы предсказывали, что развитие кибероружия и нежелание стран сотрудничать в сфере кибербезопасности приведет к анархии в области ИБ и невозможности отличить атаки спецслужб от атаки обычных преступников. Именно из-за сложной геополитической обстановки кибепреступность чувствует себя безнаказанной.  

👉В случае с китайскими и северокорейскими хакерами США представили доказательства против конкретных людей, а также опубликовали показания сотрудников ФБР, благодаря которым становится ясно, как были вычислены личности хакеров. Но не по всем делам такие данные публикуются. И никаких проверяемых доказательств, что за атакой стоят именно спецслужбы России представлено не было. Есть они или нет, мы сможем узнать только, когда дело будет рассекречено и опубликовано».