#Loki #PasswordStealer
Программу для кражи паролей рассылают под видом писем от ректора МГУ

🔻 Даты рассылок: c 9 по 16 сентября  
🔻 Тема письма: «Запрос коммерческого предложения»
🔻 Степень опасности: Malware
🔻 Семейство:  Loki PWS
🔻 Функционал: Password Stealer (кража логинов-паролей)
🔻 Получатели:  финансовые, промышленные и государственные организации России.

👉 СERT Group-IB зафиксировал в сентябре серию почтовых рассылок вредоносных программ от имени руководства МГУ им. М.В. Ломоносова. Среди получителей — финансовые, промышленные и государственные организации России. В письме злоумышленники от имени ректора Виктора Садовничего просят получателей ознакомиться с прикрепленным документом — описанием бюджета на 2020 год — и оперативно выслать свое коммерческое предложение.

👉 Сами письма написаны довольно безграмотно, со стилистическими ошибками, порядок слов и предложений указывает на машинный перевод. Ученая степень ректора указана неверно: Садовничий — не доктор философии, а доктор физико-математических наук. В футоре письма содержатся ссылки, большая часть из которых ведёт не на ресурсы МГУ, а на ресурсы Белградского университета. Судя по всему злоумышленники поленились поменять или проверить перед рассылкой все ссылки в шаблоне, что свидетельствует о подобных атаках от имени других иностранных университетов.  

👉 Любопытно, что в фейковых письмах отправителем указаны admin@msu.ru или  admin@rector.msu.ru, но в действительности письма уходили с  скомпрометированного почтового сервера португальского отеля “Hotel Afonso V” в городе Авейру.  После обнаружения атаки аналитики CERT-GIB оповестили администрацию отеля о взломе.

👉Все письма содержали .zip архив с именем «Запрос коммерческого предложения» с исполняемым файлом .exe внутри. При запуске устанавливалась вредоносная программа из семейства Loki PWS, предназначенная для кражи с зараженного компьютера логинов и паролей. В дальнейшем злоумышленники могут использовать их для получения доступа к почтовым аккаунтам или криптокошелькам, для финансового мошенничества, шпионажа или продать похищенные данные на хакерских форумах.

👉Напомним, что в июне Threat Detection System (TDS) Group-IB перехватила рассылку с Loki PWS, замаскированную под обращение министра здравоохранения Республики Казахстан. Кстати, подробный разбор одной из самых популярных версий бота — Loki 1.8 — вышел сегодня на Хабре.

#конференция
👉Открыта регистрация на онлайн-конференцию AM Live «Выбор системы глубокого анализа сетевого трафика (NTA)» «Мы обсудим движение IDS - NTA - NTP и актуальность этих подходов при выявлении и предотвращении сложных целевых атак в составе Anti-APT и SOC на практике «in the wild», — говорит Станислав Фесенко, руководитель департамента системных решений Group-IB. — Я планирую взглянуть на проблему под новым углом: насколько актуальны продукты классов NTA и NTP, в чем их особенности, преимущества и недостатки. Кроме того, я расскажу, почему эта эволюция так важна, на примере нашей системы — TDS».  

✅Начало 22 сентября в 15:00.  Мероприятие бесплатное, но надо  зарегистрироваться.

#ВПО #рассылки

👁👁Окинем взглядом ландшафт киберугроз в первом полугодии 2020г. Что видит наш Центр реагирования на инциденты кибербезопасности CERT-GIB?  Со сцены фактически ушли лидеры прошлого полугодия – вирусы-шифровальщики, веерно распространяемые в почтовых рассылках. На них пришелся всего 1%. Зато каждое третье вредоносное письмо, проанализированное Group-IB,  — 43%  содержало программу-шпиона, задача которого кража пользовательских данных - логинов, паролей, платежных данных или иной чувствительной информации. Еще 17% проанализированных Group-IB вредоносных писем содержали загрузчики, третье место разделили бэкдоры и банковские трояны — они скрывались в 16% и 15% вредоносных рассылок, соответственно.

✅Эта статистика подтверждает тренд, сформулированный в недавнем исследовании Group-IB «Программы-вымогатели: новейшие методы атак шифровальщиков»: операторы сместили фокус атак с индивидуальных пользователей на крупные корпоративные сети. Вместо того, чтобы шифровать компьютер отдельной жертвы после компрометации, атакующие используют зараженную машину для дальнейшего продвижения по сети, повышения привилегий в системе и распространения шифровальщика по максимально возможному числу хостов.

В Топ-10 инструментов, использовавшихся злоумышленниками в атаках, зафиксированных CERT-GIB в H12020 , вошли троян RTM (30%); шпионское ПО LOKI PWS (24%), AgentTesla (10%), Hawkeye (5%), и Azorult (1%); и бэкдоры Formbook (12%), Nanocore (7%), Adwind (3%), Emotet (1%), и Netwire (1%).

Еще один важный момент. Почти 70% вредоносных файлов попадали на компьютер жертвы с помощью архивов, порядка 18% были замаскированы под офисные документы (с расширениями .doc, .xls и .pdf), еще 14% — под исполняемые файлы и скрипты.

👉Ожидаемо фишинг под различные онлайн-сервисы вырос более чем вдвое во время пандемии коронавируса: на него пришлось 46% от общего числа фейковых веб-страниц.  Привлекательность онлайн-сервисов объясняется тем, что, похищая данные учетной записи пользователя, злоумышленники также могут получить доступ к данным банковской карты, привязанной к аккаунту. Чаще всего злоумышленники создают поддельные страницы, требующие обновления данных банковской карты для продолжения пользования сервисом, но в некоторых случаях, похищая данные учетной записи, они получают доступ и к данным самой карты. В первой половине 2020, CERT-GIB заблокировал 9 304 фишинговых ресурса, что на 9% выше, чем полугодием ранее.

#CERT #YouTube

🎥 Давайте заглянем за кулисы кибертеатра военных действий: недавнюю рассылку программы для кражи паролей под видом писем от ректора МГУ, "штрафы" за нарушение карантина или фишинговые сайты фейковых курьерских сервисов, первым выявил CERT-GIB.  Это наш компьютерный спецназ, который находится на первом рубеже защиты клиентов в режиме 24/7.
👉Специально для YouTube-канала Координационный центр доменов .RU/.РФ Ярослав Каргалев, заместитель руководителя Отдела реагирования (CERT) Group-IB, рассказал, как устроены мошеннические группировки, на какие уловки попадаются пользователи и как уберечь свои финансы. А также:
📌Актуальная статистика по мошенничеству в Интернете;
📌Описание масштабной фишинговой атаки, связанной с курьерскими службами и сервисами доставки;
📌Как защитить себя от мошенничества в Интернете?
📌 Что делать, если пользователь все-таки попался на уловки мошенников?
📌 Как устроены мошеннические группировки?

👍Смотрим, комментируем💪

Недооценка рисков - путь к необратимым последствиям. Associated Press сегодня сообщила о том, что впервые атака программы-шифровальщика на сеть медицинской организации привела к смерти пациента. Специалисты давно предупреждали об опасности таких атак на сферу здравоохранения, однако принцип «меня это не касается» слишком часто берет верх.

Рост киберпреступности - топ-повестка крупных СМИ. С начала пандемии коронавируса американское ФБР зафиксировало резкий скачок числа кибератак - на 400 %.
​Как отмечают американцы из DIGIGUARD: резко возросло число атак именно в отношении коммерческих компаний. "Абсолютное большинство кибератак начинаются с e-mail", - констатируют американцы, делая упор на вирусы-вымогатели в почтовых рассылках.
​После истории с Garmin и $10 млн выкупа, который компания заплатила операторам шифровальщика за возврат доступа к данным, только ленивый не задумался о том, что потерять все в один день - так себе перспектива. Радует, что в России есть технологический ответ таким киберугрозам. Причём, признаваемый международными экспертами, риторика которых в отношении РФ редко бывает безоблачна.
Немецкие аналитики  KuppingerCole Analysts AG включили систему защиты от сложных киберугроз TDS ("Threat Detection System") от российского разработчика Group-IB в свой отчет "Leadership Compass for Network Detection and Response — 2020", где KuppingerCole отметила TDS сразу в двух категориях - за выявление угроз и реагирование на инциденты, а также за уровень обеспечения безопасности.

Немцы знают, о чем говорят. Помните 2017-й год? Мир стоял на ушах: во время масштабной атаки вируса-шифровальщика BadRabbit, произошло заражение серверов киевского метрополитена, Министерства инфраструктуры, аэропорта "Одесса", редакции российских федеральных СМИ, некоторых банков. На тот момент именно TDS одним из первых зафиксировал атаку неизвестного "вымогателя", а Group-IB первыми в мире сделали технический отчет по Плохому Кролику.

Специфика Group-IB TDS заключается в том, что система работает на опережение - выявляя угрозы еще до того, как начнётся атака.
Здесь свою роль играет уникальная система поиска и атрибуции киберугроз Threat Intelligence, созданная Group-IB - она признана одной из лучших в мире по версии Gartner, IDC и Forrester. Говорят, в ней около 150 технически отслеживаемых хакерских групп и порядка 1000 персоналий, так или иначе связанных международным киберкриминалом.  Используя эти данные, машинное обучение и постоянно обновляемые технологии обнаружения атак и атакующих TDS  востребована крупным бизнесом в России и далеко за ее пределами - в  Западной Европе, Африки и Юго-Восточной Азии.
KuppingerCole прочат TDS большое будущее и в Америке. Видимо, когда речь о технологиях, политические разногласия отступают. Побольше бы примеров, когда Россия на Западе может быть связана и с хорошими новостями тоже.

📲 Компьютерные криминалисты регулярно сталкиваются с кейсами, когда надо оперативно разблокировать смартфон. Например, данные из телефона нужны следствию, чтобы понять причины суицида подростка. В другом случае — помогут выйти на след преступной группы, нападающей на водителей.  Насколько обычная блокировка экрана может стать препятствием для следствия говорит тот факт, что ФБР заплатило крупную сумму за разблокировку iPhone террориста Сайеда Фарука, одного из участников теракта в калифорнийском городе Сан-Бернардино. В этой статье Игорь Михайлов, специалист Лаборатории компьютерной криминалистики Group-IB, рассказывает о способах, которые позволяют экспертам-криминалистам обойти блокировку смартфона. Статья написана для оценки безопасности паролей и графических паттернов, а также даны рекомендации пользователям, как повысить уровень защиты своих устройств.

👉Уже завтра, 23 сентября, в рамках  совместного проекта Group-IB c Техническим университетом УГМК пройдет второй вебинар из цикла бесплатных обучающих мероприятий по информационной безопасности.

🕵️‍♀️На вебинаре «Один день из жизни кибердетектива» Светлана Островская, тренер по компьютерной криминалистике Group-IB, расскажет о специфике профессии компьютерного криминалиста на основе реальных примеров и кейсов из опыта компании.

На вебинаре вы узнаете:
📌Как проходит процесс криминалистического исследования;
📌Как находить следы работы вредоносных программ или активности киберпреступников;
📌 Как восстановить хронологию событий при атаке.
Регистрация тут.

#OldGremlin  #TinyCryptor  #TinyNode #TinyPosh

👉«Старый Гремлин» — подходящее название для shot drinks-коктейля. Стелет мягко, но потом валит с ног. Так и новая преступная группа OldGremlin — рассылает разные нарядные рассылки от имени заводов, газет и пароходов, заражает машину жертвы самописным бэкдором TinyNode или TinyPosh, а спустя какое-то время шифрует всю корпоративную сеть другой своей самоделкой — TinyCryptor.

💣Начиная с весны, OldGremlin провела минимум 9 кампаний по рассылке вредоносных писем.  Сегодня мы подробно расскажем о методах и инструментах "гремлинов"  на примере успешной атаки на российскую медицинскую компанию —  за расшифровку с нее потребовали выкуп в $50 000.

✅Пять интересных фактов про OldGremlin:

📌Несмотря на негласный запрет у  киберпреступников «не работать по РУ», OldGremlin, состоящая из русскоязычных хакеров, активно атакует исключительно российские компании — банки, промышленные предприятия, медицинские организации и разработчиков софта.

📌По аналогии с группами, которые “работают” по иностранным целям, OldGremlin можно отнести к категории Big Game Hunting (Охота на крупную дичь), которая объединяет операторов вирусов-шифровальщиков, нацеленных на  крупную добычу — корпоративные сети.

📌OldGremlin совершает многоступенчатые целевые атаки на российские компании и банки, используя сложные, как у APT, тактики и техники: например, они не рассылают свой шифровальщик TinyCryptor « в лоб» — прямо в почтовой рассылке, а сначала получают удаленный доступ к зараженной машине жертвы, а затем с этого плацдарма ведут разведку, сбор данных и дальше продвигаются  по сети организации. При чем, если машина  — случайная жертва — находится не в домене корпоративной сети, ее шифруют сразу.

📌Кроме самоделок — самописных бэкдоров TinyNode или TinyPosh, «гремлины» используют популярный у cybercrime и APT-групп инструмент для пентестов Cobalt Strike.

📌OldGremlin пристально следят за новостной повесткой — темой их рассылки может стать как история об организации удаленной работы в период пандемии, предложение об интервью от финансового  журналиста солидного издания, так и белорусские протесты.

#OldGremlin  #TinyCryptor  #TinyNode #TinyPosh

#OldGremlin  #TinyCryptor  #TinyNode #TinyPosh

🎥В эфире — Олег Скулкин, ведущий специалист Лаборатории компьютерной криминалистики Group-IB:
«OldGremlin — это единственная на данный момент активная русскоязычная группа-оператор шифровальщика, которая несмотря на негласный запрет «работает по РУ» и совершает многоступенчатые целевые атаки на российские компании и банки, используя сложные, как у APT, тактики и техники. По аналогии с группами, которые “работают” по иностранным целям, OldGremlin можно отнести к категории Big Game Hunting, которая объединяет операторов вирусов-шифровальщиков, нацеленных на  крупную добычу».

👆Не пропустите: на вебинаре 6 октября мы расскажем, какие техники, тактики и процедуры (TTPs) используют OldGremlin, как обнаружить атаку на ранних стадиях, какие превентивные меры можно предпринять. Регистрируйтесь по ссылке.

💻Сегодня в полдень стартует онлайн-митап с участием Ильи Сачкова, CEO Group-IB. Обсудим:
📌схемы проникновения через почту и дальнейшие сценарии развития атаки;
📌почему устаревшие антивирусы и классические песочницы не работают и не годятся для защиты инфраструктуры и важных активов;
📌какой технологический стек использовать для защиты от нового типа атак на примере решение класса malware detonation Group-IB TDS Polygon;
📌как минимизировать человеческий фактор: основные правила и рекомендации.

Все рассмотрим на реальных бизнес-кейсах. Подключайтесь!

👉Регистрация на митап через бота

#CAS #биатлон #staytrue

🥇Если вы когда-нибудь задумывались о том, как пробы на допинг и биатлон могут быть связаны с компьютерной криминалистикой, то у нас есть ответ: технологии настолько глубоко проникли во все сферы жизни, что теперь даже спортивные суды привлекают специалистов по кибербезу и, что еще важнее, прислушиваются к их экспертному мнению.

🥇Вчера вечером спортивный арбитражный суд (CAS) удовлетворил апелляции российских биатлонисток Яны Романовой и Ольги Вилухиной, которых обвиняли в нарушении антидопинговых правил. Также суд частично удовлетворил апелляцию Ольги Зайцевой, сняв с нее пожизненное отстранение от участия в Олимпиадах. Напомним, что спортсменки Романова и Вилухина вместе с Зайцевой оспаривали решение Международного олимпийского комитета о пожизненном отстранении от участия в Олимпиадах и аннулировании результатов на Играх в Сочи за нарушение антидопинговых правил. Биатлонистки были лишены серебра Игр-2014 в эстафете, Вилухина также потеряла серебряную медаль в спринте.

🥇Обвинения в адрес российских биатлонисток основывались на показаниях экс-руководителя московской антидопинговой лаборатории Григория Родченкова. Однако экспертиза, которую провел зам руководителя Лаборатории компьютерной криминалистики Group-IB Сергей Никитин, подтвердила, что подписи Родченкова под его показаниями в деле биатлонисток копировались из другого источника.

💣Исходный код Windows XP SP1 и других версий этой операционной системы якобы утекли в сеть. Коллекция размером 43 ГБ была выложена на форуме 4chan. Чем это опасно? Хотя эти системы более не поддерживаются, множество их компонентов или основанных на их базе решений все ещё встречаются в современных ОС от Microsoft. Наличие исходных кодов очень сильно упрощает задачу поиска уязвимостей, как в самой ХР, так и потенциально - в Win 10.

#мошенничество #соцсети #Instagram
Выявлена новая схема интернет-мошенничества с использованием детей
👉На радарах опять появилась циничная мошенническая схема с использованием детей. Очередной жертвой стала ведущая «Говорит Москва» Екатерина Родина. Преступники взломали её страницу в Instagram, написали сообщение о том, что сын якобы попал в ДТП, прикрепили к посту поддельные документы и просили перечислить деньги на карту.

👉«В последнее время эта известная преступная схема модифицируется таким образом, чтобы сообщения выглядели наиболее правдоподобно, легитимно и персонализировано для тех, кто получает этот "крик о помощи" в личных сообщениях, рассылках, СМС», — объясняет Анастасия Баринова, замруководителя Лаборатории компьютерной криминалистики Group-IB.

👉Что делают мошенники?

Сначала проводят разведку профиля жертвы в соцсетях, выясняют, что у нее есть дети, чьи фото и персональные данные можно использовать. Затем взламывают аккаунт пользователя и публикуют от его имени пост или пересылают в личных сообщениях полный отчаянья текст о помощи и сборе денег.

👉Как защититься от злоумышленников?
Свести к минимуму персональную информацию, которую мы оставляем о себе в интернете — данные о  местоположении, месте жительства, доходах, школе, где ребенок учится, его фото. Защитить свои соцсети, мессенджеры двухфакторной аутентификацией,  соблюдать основные правила цифровой гигиены.