#TDS #report #NDR

🎉Система Group-IB для проактивного поиска и защиты от сложных и неизвестных киберугроз Threat Detection System (TDS) получила признание ведущего европейского аналитического агентства

👉KuppingerCole Analysts AG, глобальное независимое аналитическое агентство со штаб-квартирой в Европе, включила решение Group-IB TDS в отчет Leadership Compass for Network Detection and Response — 2020, присвоив Group-IB статус Product Leader и Innovation Leader.

✔️Сегодня Group-IB TDS доверяют свою безопасность банки, финансовые организации и промышленные предприятия в десятках стран Западной Европы, Африки и Юго-Восточной Азии. TDS позволяет клиентам Group-IB защищаться от сложных целевых атак и APT-угроз, обеспечивая эффективное автоматизированное реагирование и минимизиуя последствия атак.

👍«Group-IB обладает уникальной базой данных о киберугрозах, которую компания также использует в своих продуктах и которыми делится через такие организации, как Cyber Threat Alliance, глобальные центры реагирования CERT, Europol и INТЕRPOL, — говорится в отчете KuppingerCole Analysts AG. — TDS является одним из самых многофункциональных решений в категории выявления сетевых угроз и реагирования (NDR) на рынке. Система превосходит наши ожидания от функционала NDR. <…> Организациям, которым необходим полный спектр возможностей NDR, особенно тем, кто собирается их применять в промышленном комплексе, стоит задуматься о приобретении решения TDS».

В отчете также представлены решения таких компаний, как Cisco, FireEye, Darktrace и Symantec, ознакомиться с документом можно на сайте Group-IB.

#Phishing #Avia #BrandProtection

Команда Brand Protection Group-IB обнаружила три десятка фишинговых ресурсов, предлагающих “дешевые авиабилеты” и “выгодные тарифы”

🍹В этом году из-за пандемии и закрытых границ мошенники довольно поздно стали продвигать свою любимую билетную тему: торговать авиа и жд-билетами, номерами в отелях на отечественных и зарубежных курортах.

👉Впрочем, стоило COVID-19 сдать свои позиции  —  и в июне-июле число поисковых запросов со словом «авиабилеты» по сравнению с предыдущими месяцами выросло практически в два раза. А это значит, что интернет-жулики, следящие за новостной повесткой, тоже вступили в игру. Пик регистрации доменов фейковых авиагрегаторов, которые изучили аналитики Brand Protection Group-IB,  пришелся на период с 13 июня по 27 июля.

🙈Сделанные как под копирку липовые сайты не только незаконно используют логотипы и бренды известных авиакомпаний и турагентств, но и похищают у незадачливых путешественников деньги. Сама схема довольно примитивная: после выбора направления и даты, агрегатор предлагает приобрести билеты online - пользователь вводит в форму данные своей банковской карты и теряет деньги. Например, перелет из Москвы в Сочи предлагают за 3700 руб, в Симферополь - от 4200 руб, в Санкт-Петербург от 2900 руб. Продвижение фейковых сервисов главным образом происходит через спам и рекламу. Судя по жалобам на отзовиках, у фейковых сайтов уже есть жертвы.

Чтобы не омрачить поездку финансовыми потерями, помните:

👉Большие скидки на билеты, акции и розыгрыши  — один из признаков того, что вы попали на мошеннический ресурс.  
👉Прежде, чем ввести в какую-либо форму данные своей банковской карты — изучите адрес сайта, «загуглите» его и проверьте, когда он был создан. Если сайту пара месяцев — с большой долей вероятности он мошеннический. Доверяйте только официальным сайтам.

#цифровая_гигиена

🍹Это раньше, отправляясь в отпуск, достаточно было перекрыть воду и проверить, выключили ли утюг. Теперь, независимо от того,  живете ли в высокотехнологичном  «умном доме» или у вас самопальный  «домик-дурачок», придется сделать несколько манипуляций с вашими приборами, гаджетами, банками и сотовыми операторами. Какие именно, рассказывают «Известия»:

📌Перед отъездом необходимо поставить пароли на все устройства (не забываем активировать еще и "второй фактор", где это возможно), выйти из сервисов, а также проверить, нет ли возможности автоматического входа.

📌Поменять пароль на роутере, который должен отличать от использующегося по умолчанию, например, admin, password и т.д. Лучше всего установить сложный пароль, отключить возможность удаленного доступа и проделать подобные манипуляции с другими устройствами "умного дома".

📌Если вы хотите, чтобы система видеонаблюдения, робот-пылесос или кормушка для питомцев безопасно работали во время вашего отсутствия, достаточно внести данные об этих устройствах в “белый список” домашнего роутера.  Эта настройка позволяет вручную внести в список доверенные устройства, и только эти устройства будут иметь доступ к вашему домашнему интернету.

📌Обязательно поставьте надежные пароли на все свои смартфоны, ноутбуки и планшеты, которые берете с собой, чтобы в случае кражи, никто ими не воспользовался. Не забудьте включить функции «Найти телефон» и «Найти ноутбук», а так же активировать шифрование данных FileVault или Bitlocker в зависимости от используемой вами операционной системы. Перед отъездом напишите заявление оператору связи о запрете перевыпуска вашей сим-карты по доверенности.

📌Предупредите свой банк, что вы уезжаете в отпуск и будете совершать покупки по карте. Заведите отдельную карту для шоппинга, потому что велики риски, что карта может быть скомпрометирована в магазине, в ресторане или на заправке.

#утечка

🚨Второй день СМИ пишут о продаже паспортных данных участников интернет-голосования по поправкам к Конституции в даркнете. Чем опасна эта утечка и как злоумышленники могут использовать эту информацию?

🗂 База данных, о которой идет речь, оказалась в публичном доступе достаточно давно – 1 июля 2020 года. В паблик попал файл db.sqlite, содержащий хеши SHA-256 (уникальные идентификаторы файла), взятые от серий и номеров паспортов. Их можно расшифровать перебором значений в диапазоне от 0000000000 до 9999999999 - 4 цифры для серии и 6 для номера паспорта, соответственно.

👨🏻‍💻 Эксперты Group-IB фиксируют предложения о продаже записей из базы данных, как утверждается, участников электронного голосования на даркнет-форумах. Одно из объявлений появилось 18 июля 2020 от пользователя, у которого нет никакого рейтинга. Исходя из описания базы данных и её размера, можно предположить, что это именно та база, которая была выложена в открытый доступ в начале июля.

⚠️ В чем опасность? Информация о паспортных данных россиян может быть использована мошенниками для обогащения текущих баз данных с целью совершения сложных атак с использованием социальной инженерии.

❓Пора писать на info@group-ib.com? Использовать паспортные данные без дополнительной информации, идентифицирующей пользователя, затруднительно, но не стоит недооценивать злоумышленников. Чтобы обезопасить себя и не стать жертвой новой мошеннической схемы, будьте бдительны, отвечая на звонки от банков, страховых компаний или других организаций, сотрудники которых спешат сообщить вам в начале звонка ваши персональные данные и проинформировать о срочном вопросе, требующем вашего участия.  То же самое касается фишинговых писем — будьте осторожны, переходя по ссылкам или скачивая файлы, и критично просматривайте почту.

#мошенничество #доставка

Это раньше еду готовили, сейчас еду, в основном, заказывают. Выбрав нужный сайт с доставкой, мы жмем "заказать", "оплатить" и ждем свою пиццу. Но заказ по непонятным причинам задерживается. Ошибка службы логистики, пробки на дорогах, голодный курьер – вы перебираете все возможные причины, по которым пицца еще не у вас на столе.

Что произошло?
Оформив заказ, вы лишились не только сытного ужина, но и средств на счете.

📍Эксперты Group-IB Brand Protection фиксируют рост числа мошеннических страниц под популярные сервисы доставки еды из ресторанов и супермаркетов. Визуально они полностью копируют официальные сайты – разница, как всегда, в доменном имени, измененном официальном названии ресурсов доставки, лишних знаках препинания или визуально схожих буквенных сочетаниях (например, aI(ai)  al (al)).

📍Проанализировав фейковый ресурсы доставки еды, специалисты Group-IB Brand Protection обнаружили группу из более 200 созданных по одному шаблону сайтов, незаконно использующих имена свыше 40 брендов. Помимо доставки еды, в их числе были магазины по продаже товаров для дома, средств индивидуальной защиты, билетов на мероприятия и др.

📍Злоумышленники заманивают пользователей на фейковые ресурсы, размещая контекстную рекламу с изображением известных сервисов. Оказываясь на фейковой странице, пользователь оформляет заказ, после чего попадает на страницу оплаты, на которой оплатить заказ может только картой. В результате деньги уходят мошенникам.

Что делать?
Чтобы не стать жертвой такого типа мошенничества, эксперты Group-IB советуют пользоваться официальными мобильными приложениями сервисов по доставке еды и супермаркетов.
В случае, если заказ необходимо сделать на сайте, обращайте внимание на его доменное имя и проверяйте регистрационные данные веб-ресурса с помощью таких сервисов, как Whois, которые показывают, например, когда сайт был зарегистрирован.
Как правило, «возраст» мошеннических сайтов всегда небольшой, иногда они создаются за несколько дней.

#RedCurl #APT #шпионаж

Шпионские страсти разгораются на полях #APT. Сегодня команда Group-IB Threat Intelligence представила аналитический отчет по ранее неизвестной хакерской группе RedCurl, специализирующейся на корпоративном шпионаже.

Группа, предположительно, состоящая из русскоговорящих хакеров, проводит тщательно спланированные атаки на частные компании различных отраслей, используя уникальный инструментарий. Цель атакующих – документы, представляющие коммерческую тайну и содержащие персональные данные сотрудников.

«Корпоративный шпионаж, как элемент недобросовестной конкурентной борьбы – достаточно редкое явление в мире APT, — комментирует Рустам Миркасымов, руководитель отдела динамического анализа вредоносного кода компании Group-IB —Для RedCurl нет никакой разницы кого атаковать: российский банк или консалтинговую компанию в Канаде. Такие группы специализируются на корпоративном шпионаже, применяя техники сокрытия своей активности, в том числе, за счет использования легитимных инструментов, которые сложно детектировать. Содержимое чужих писем для них гораздо ценнее содержимого чужих кошельков.  Несмотря на отсутствие прямого финансового ущерба, как в случае с финансово-мотивированными киберкриминальными группами, последствия шпионской деятельности могут исчисляться десятками миллионов долларов».

До выпуска отчета Group-IB никаких технических данных о группе не было, что затрудняло выявление ее атак на ранней стадии. Group-IB впервые привели индикаторы компрометации, которые, могут быть использованы организациями для проверки своих сетей на факт возможного проникновения RedCurl. На данный момент, Group-IB продолжает фиксировать новые атаки RedCurl в разных странах мира.

Скачать отчет можно на сайте: https://www.group-ib.ru/resources/threat-research/red-curl.html

#RedCurl #APT #шпионаж

Впервые группа RedCurl, обнаруженная экспертами Group-IB Threat Intelligence, была упомянута в ежегодном отчете Group-IB «Hi-Tech Crime Trends 2019/2020». RedCurl  активна как минимум с 2018 года. За это время она совершила 26 целевых атак исключительно на коммерческие организации. Среди них строительные, финансовые, консалтинговые компании, ритейлеры, банки, страховые, юридические и туристические организации.

📍RedCurl не имеет четкой географической привязки к какому-либо региону: ее жертвы располагались в России, Украине, Великобритании, Германии, Канаде и Норвегии.

📍Группа действовала максимально скрытно, чтобы минимизировать риск обнаружения в сети жертвы. Во всех кампаниях главной целью RedCurl была кража конфиденциальных корпоративных документов — контрактов, финансовой документации, личных дел сотрудников, документов по судебным делам, по строительству объектов и др. Все это может свидетельствовать о заказном характере атак RedCurl с целью недобросовестной конкуренции.

#RedCurl #APT #профайл

#RedCurl #APT

Если вы больше любите видео и хотите знать о том, как устроен механизм кражи конфиденциальной информации в кампаниях группы RedCurl, смотрите видео Рустама Миркасымова, руководителя отдела динамического анализа вредоносного кода компании Group-IB:

https://youtu.be/CoBQyHxY0XU

#ФНС #RMS #фишинг
Налог, который не стоит платить: Group-IB и ФНС предупреждают о вредоносной рассылке от имени налоговой

👉Специалисты Центра реагирования на инциденты кибербезопасности CERT-GIB зафиксировали вредоносную кампанию якобы от имени ФНС: в поддельных письмах под видом вызова в налоговую киберпреступники распространяют ПО для удаленного управления компьютером. В настоящее время рассылка вредоносных писем продолжается. CERT-GIB и ФНС рекомендуют проявить максимальную бдительность и с осторожностью относиться к требованиям открыть файлы во вложении.

👉Рассылка началась 27 июля. Всем атакуемым приходило одинаковое письмо, в адресе отправителя которого была указана почта info@nalog[.]ru, которая полностью имитировала легитимный домен ФНС. На самом деле письма рассылались с публичных почтовых сервисов, технические заголовки были подделаны. Автор письма просил явиться в «Главное Управление ФНС России» для «дачи показаний по движению денежных средств», а также распечатать и заполнить документы, находящиеся во вложении к письму. В случае неповиновения, отправитель «обещал» санкции, предусмотренные УК РФ. Как подчеркивают в ФНС, ни организации, фигурирующей в подписи к письму, ни сотрудников, от имени которых были отправлены эти сообщения, не существует.

👉Специалисты CERT-GIB обращают внимание на качество фишинговой атаки. Во вложении к поддельному письму находился архив «zapros-dokumentov.rar», в котором был другой запароленный архив и текстовый файл с паролем от него. При открытии аттача на компьютер жертвы загружалось легитимная программа для удалённого администрирования и управления компьютером, RMS (Remote Manipulator System). Именно поэтому для большинства антивирусных средств подобное письмо не выглядело вредоносным. Однако в данном случае ПО RMS было модифицировано злоумышленниками таким образом, что при запуске исполняемого файла они получали полный удаленный контроль над атакованной рабочей станцией.

🙈Общая проблема российских банков — 10 трлн. рублей проблемных долгов и недобросовестные заемщики. Как решать вопросы с проблемными активами? Какие инструменты использовать?
Присоединяйтесь 20 августа к вебинару Group-IB, где мы расскажем:
📌Об основных методах, которыми пользуются недобросовестные заемщики;
📌 Как можно бороться с ними и решать вопрос проблемных активов.
🕵️‍♀️На примере реального кейса мы продемонстрируем все этапы и результаты финансового расследования.
Регистрируйтесь по ссылке

#Phishing #Avia #BrandProtection
Команда Brand Protection Group-IB обнаружила более 100 фишинговых ресурсов, предлагающих “дешевые билеты”. Большая часть из них уже заблокирована.

Яков Кравцов, руководитель направления антиконтрафакта департамента интеллектуальной защиты бренда Group-IB:

👉“Последние полтора-два месяца наблюдается бум создания фишинговых и мошеннических ресурсов, связанных с продажей билетов. В конце июля их было три десятка, в середине августа - уже около сотни.  Большая часть этих ресурсов нацелена именно на продажу авиабилетов, но столкнуться с мошенничеством сейчас можно во всем, что касается путешествий: бронь номеров в отелях, аренда авто и т.д. Чтобы ввести  людей в заблуждение, интернет-аферисты часто используют бренды известных авиаперевозчиков и агрегаторов по продаже билетов и туров. Некоторые из ресурсов были созданы ещё до карантина, но из-за пандемии эти сайты были активированы только тогда, когда начали открываться границы. Существенную часть этих мошеннических ресурсов составляет именно фишинг — злоумышленники похищают деньги или данные банковских карт”.

👉Мы рекомендуем при планировании поездки внимательно отнестись к выбору ресурса для покупки билетов или брони номеров:  
📌Совершайте покупки только на официальных сайтах. Не верьте “фантастическим скидкам”, "акциям" и "розыгрышам".
📌Обязательно проверяйте доменное имя ресурса, на котором находитесь, если оно отличается от оригинального или просто кажется вам подозрительным - не стоит продолжать пользоваться подобным ресурсом;
📌Проверьте, когда был создан ресурс. Если сайту пара месяцев — с большой долей вероятности он мошеннический.

#вебинар #шифровальщики

🙈Весь этот небывалый разгул вирусов-шифровальщиков с парализованными сетями муниципалитетов, остановками производственных линий, как это было с Honda, или блэкаутом онлайн-сервисов, как это было у Garmin, стал реальным кошмаром и для владельцев бизнеса, и для госсектора. По данным Group-IB, количество атак вирусов-шифровальщиков в 2019 г. по сравнению с предыдущим годом возросло на 40%, а  размер среднего выкупа взлетел в разы, с $8 000 до $84 000.
👉На онлайн-митапе 27 августа мы расскажем о шифровальщиках, способах их проникновений в сети компаний, возможных методах защиты и сохранения своих данных.

Наши спикеры:
👍Олег Скулкин, ведущий эксперт Лаборатории компьютерной криминалистики Group-IB, расскажет про виды шифровальщиков, какие опасности они несут и что нужно предпринять для защиты вашей инфраструктуры.
👍Станислав Фесенко, глава Департамента системных решений Group-IB, поделится секретами построения надежной системы безопасности от кибератак.
👍Павел Косарев, системный инженер Veeam, научит правилу резервного копирования 3-2-1 и восстановлению данные за считанные минуты.

Зарегистрироваться можно здесь. Спешите!

#COVID_fake
Команда Brand Protection Group-IB обнаружила около 20 доменов с упоминанием вакцины от коронавируса, большинство из них пока неактивны, однако могут быть использованы мошенниками в период старта вакцинации от COVID-19, рассказал РИА Новости руководитель направления антиконтрафакта департамента интеллектуальной защиты бренда Group-IB Яков Кравцов. Напомним, что 11 августа Минздрав России зарегистрировал первую в мире вакцину для профилактики COVID-19, которая получила название "Спутник V".

"Мошенники внимательно следят за новостями , чтобы использовать в своих интернет-аферах актуальную повестку, — замечает Кравцов. — Сейчас мы фиксируем около двух десятков доменов, в названии которых используются слова "вакцина, COVID-19, коронавирус" и так далее. Но работают пока только два ресурса, остальные — в спящем состоянии. Возможно, это обычные информационно-просветительские ресурсы, но велики риски, что подобные сайты будут использовать именно мошенники, пытающиеся похитить деньги или данные банковских карт под предлогом вакцинации».

#спуфинг #благотворительность

Жулики покусились на святое. По данным CERT-GIB, по меньшей мере три крупных благотворительных организации с начала августа подверглись атакам с использованием спуфинга (подмены адреса) электронной почты. Также Group-IB обнаружила следы готовящихся кампаний против еще 7 благотворительных организаций. Злоумышленники отправляли поддельные письма от лица руководителей благотворительных фондов их коллегам, например, из финансового отдела, с просьбой срочно оплатить лечение кого-то из подопечных организации.

Вот один из примеров: 3 августа трое сотрудников Фонда Хабенского получили письмо от директора благотворительной организации с просьбой немедленно перевести средства, собранные для одного из подопечных фонда, на указанные реквизиты. Подозрительное сообщение насторожило команду фонда. Поскольку благотворительная организация никогда не осуществляет переводов на личные банковские счета и персональные кошельки, получатели переслали письмо для проверки на предмет мошенничества в Group-IB. И правильно сделали!

Три дня спустя экспертам CERT-GIB стало известно об аналогичной попытке вывести средства из фонда «Кислород». Проанализировав домен bfkislorod[.]ru с помощью системы графового анализа, эксперты Group-IB обнаружили, что в период с 5 по 6 августа злоумышленники зарегистрировали еще семь доменов, копирующих имена известных благотворительных организаций, в том числе фондов «Алеша», «Подари жизнь» и «Старость в радость». Специалисты Group-IB занимаются блокировкой развернутой злоумышленниками инфраструктуры, расследованием инцидентов и сбором информации о предполагаемых атакующих. Ущерба, к счастью, удалось избежать.