#cybercrimecon #CCC2020 #threathunting #cybersecurity

Конференция CyberCrimeCon 2020 стартовала, ее открыл Илья Сачков, CEO Group-IB, с программой речью The Group-IB Manifesto. Перехватили несколько ярких цитат из нее:

📌У нас абсолютная нетерпимость к киберпреступникам. Мы не просто инженеры, аналитики, криминалисты — мы стоим одним фронтом перед нашим общим врагом. И этот враг вполне реален — это киберпреступность.

📌Я считаю, что миссия профессионалов в области кибербезопасности заключается в ликвидации киберпреступности с помощью высокотехнологичных инженерных решений, а не ограничивается только пассивной защитой. За 17 лет мы провели более 1200 успешных расследований с различными правоохранительными органами по всему миру, помогли привлечь к ответственности и остановить реальных киберпреступников.

📌Мы работаем против организованной преступности, которая опасна, умна и сильна, особенно в последние годы. И она растет очень быстро. Этому есть причина. Многие люди и компании все еще играют в пинг-понг с злоумышленниками. Для них защита от киберпреступности — это способ заработать деньги. Они забыли, что преступление — это не игра. Оно может быть опасно не только в интернете, но даже в физическом мире. Благодаря коррупции, разведке криминальных групп, политическим противоречиям.

📌Но для нашего сообщества — и для нас, в Group-IB,  кибербезопасность — это борьба с врагом, борьба, где наше оружие — это технологии предотвращения кибератак, threat hunting, атрибуции и расследования. Они, действительно, могут остановить преступность.

📌В рамках нашей глобальной инженерной экспансии мы выбираем для наших RND-центров и штаб-квартир места вблизи стратегически важных хабов, где дислоцируются борцы с киберпреступностью. Именно поэтому в новых регионах мы фокусируемся не на продажах и маркетинге, как большинство компаний по кибербезопасности, а на реагировании на инциденты, криминалистике, threat hunting, исследованиях, расследованиях и продвижении новых профессий в области кибербезопасности.

📌Невозможно сражаться с врагом, не зная его, не понимая его мотивов, приемов и тактики. Вот почему атрибуция и threat hunting являются основой нашей инженерной философии. Во всем, что мы делаем.

📌Для охоты и атрибуции нужны инструменты. Вот почему наши технологии постоянно атакуют не рынок, а преступников. Киберследователи по всему миру используют наши решения для поимки злоумышленников, и именно поэтому мы знаем, что технологии работают.

📌Если наши принципы вам близки и вы хотите помочь — присоединяйтесь к нашему клубу — Trusted Member Club. Клубу без границ и политики, куда входят профессионалы, объединенные нетерпимостью к киберпреступности.

Скачать полную версию отчета Hi-Tech Crime Trends 2020-2021 можно тут 👈

#cybercrimecon #CCC2020 #Ransomware

💻На экране — Дмитрий Волков, технический директор Group-IB, а значит пришло время презентации нового аналитического отчета Hi-Tech Crime Trends 2020–2021.

📑 Спойлеры короткой строкой:

💥Самую большую головную боль и наибольший финансовый ущерб — свыше $1 млрд. — принесли атаки программ-шифровальщиков. Очевидно, используемые компаниями средства кибербезопасности "пропускают" шифровальщиков, не справляясь с обнаружением и блокировкой угроз на ранней стадии.

💥Основные цели шифровальщиков  — США, Великобритания, Канада, Франция и Германия. На них пришлась 381 атака из 505, что составило 75%.

💥В топ-5 наиболее атакуемых отраслей входят производство (94 жертвы), ретейл (51 жертвы), государственные учреждения (39 жертвы), здравоохранение (38 жертв), строительство (30 жертв).

Скачать полную версию отчета Hi-Tech Crime Trends 2020-2021 можно тут 👈

#cybercrimecon #CCC2020 #Ransomware

💥Наиболее опасными шифровальщиками с конца 2019 года являются Maze и REvil — на них приходится более 50% успешных атак.

💥Шифровальщики стали настолько популярны, что в открытом доступе  на GitHub стали публиковать готовые проекты Ransomware- As-A-Service для Linux, MacOS и Windows.  

💥Владельцы банковских бот-сетей TrickBot, Qbot, Silent Night, RTM начали использовать свои бот-сети для установки программ-шифровальщиков.

💥Старые знакомые — преступные группы Cobalt и Silence, раньше атаковавшие банки для хищения и вывода денег, переключились на использование шифровальщиков и стали участниками приватных партнерских программ.

💥Еще одной причиной роста атак шифровальщиков становится то, что используемые компаниями средства кибербезопасности "пропускают" их, не справляясь с обнаружением и блокировкой.

Скачать полную версию отчета Hi-Tech Crime Trends 2020-2021 можно тут 👈

#cybercrimecon #CCC2020 #APT

👉В октябре 2019 года, Дмитрий Волков, стоя на сцене одного из самых живописных неоготических особняков Москвы, предупреждал участников CyberCrimeCon’19 об угрозах проведение открытых военных операций с использованием кибероружия. Конфликт между государствами приобрел новые формы, и кибер-активность играет ведущую роль в этом деструктивном диалоге. Критические инфраструктуры многих стран уже скомпрометированы, и атакующие просто остаются незамеченными до нужного момента.

💣Прогнозы из отчетов Hi-Tech Crime Trends имеют обыкновение сбываться. Так происходит из года в год. И уходящий год не стал исключением. Все чаще шпионаж в военных операциях спецслужб сменяется активными попытками уничтожения объектов инфраструктуры. Среди значимых объектов атак — ядерные объекты Ирана и Индии и система водоснабжения Израиля.  Скачать полную версию отчета Hi-Tech Crime Trends 2020-2021 можно тут 👈
 
📑Спойлеры короткой строкой:

💥 За текущий период было обнаружено семь новых APT-групп, а также выявлена активность шести ранее известных групп, которые оставались незамеченными последние несколько лет.
💥  В результате таких операций атакующим удавалось, например, добиться остановки энергоблоков
на предприятиях атомной энергетики, физически уничтожить прилегающую инфраструктуру.
💥 Была зафиксирована атака на водоочистительные комплексы, предполагаемой целью которой было изменение уровня хлорирования воды, что могло привести к человеческим жертвам.
💥  Лидеры некоторых государств начали открыто заявлять об успешно проведенных атаках на территориях других стран.

😱Не нужно быть менталистом типа Мессинга, чтобы предугадать, чем грозит подобное развитие событий:  

💥 Ожидается увеличение количества диверсионных операций на объектах критической инфраструктуры Ирана, особенно связанных с ядерной программой.
💥 Из-за обострения обстановки на Ближнем Востоке, возможно, будут проведены первые атаки на системы управления транспортными судами в Персидском заливе.
💥 Новые успехи в космической отрасли компаний Илона Маска могут привлечь внимание спецслужб как в плане шпионажа, так и для получения контроля над системами управления спутниковой связи.

#cybercrimecon #CCC2020 #Энергетика #Телеком #Банки #Ретейл

⚔️Когда мир сталкивается с неизвестной эпидемией, когда политическое противостояние между странами приобретает все более острые формы, а бизнес переживает кризис за кризисом — один показатель неизменно растет. Это уровень киберпреступности.

📑Отчет Hi-Tech Crime Trends 2020-2021 исследует разные аспекты функционирования киберкриминальной индустрии, анализирует атаки и прогнозирует изменение ладшафта угроз для различных отраслей экономики: финансовой, телекоммуникационной, ретейла, производства, энергетики.  В нашем блоге мы приводим выдержки из отчета для различных отраслей, а полную версию отчета можно скачать тут 👈

✅Прогнозы и рекомендации Hi-Tech Crime Trends 2020-2021 направлены на сокращение финансовых потерь и простоев инфраструктуры, а также на принятие превентивных мер по противодействию целевым атакам, шпионажу и кибертеррористическим операциям.

🕵️‍♀️Для кого предназначен отчет Hi-Tech Crime Trends 2020/2021?

📌Для экспертов по риск-менеджменту, специалистов по стратегическому планированию задач в области кибербезопасности, представителей советов директоров, отвечающих за цифровые трансформации и инвестирование в защиту информационных систем.

📌Для ИТ-директоров, руководителей команд кибербезопасности, SOC-аналитиков, специалистов по реагированию на инциденты отчет Group-IB является практическим руководством стратегического и тактического планирования, предлагая аналитические инструменты, которые помогают корректировать и настраивать системы безопасности корпоративных и государственных сетей.

#INTERPOL #Falcon
💥Достойное завершение насыщенного дня. Тот, кто сегодня был на CyberCrimeCon2020, наверняка слышал, как Крейг Джонс, Cybercrime Director из INTERPOL, рассказывал про «фантастическое партнерство с Group-IB»  и совместные операции — уже известную NightFury  в Индонезии и совсем неизвестную «Falcon».

⚔️Спустя несколько часов тайна была раскрыта — Интерпол объявил об успешном завершении совместной операции с Group-IB и полицией Нигерии по ликвидации преступной группы, которая скомпрометировала около 500 тысяч государственных и частных компаний из 150 стран мира. Эксперты из Центра реагирования на инциденты CERT-GIB и отдела расследований высокотехнологичных преступлений в регионе APAC Group-IB установили личности киберпреступников, используя инновационную систему для исследования киберугроз и охоты за атакующими. За группой из Нигерии следили около года, связывая разрозненные события, атаки и инструменты атакующих воедино. Результат  —  трое злодеев уже арестованы в Лагосе (Нигерия).

🕵️‍♀️Это как раз то, о чем сегодня говорил Илья Сачков, CEO Group-IB, открывая конференцию CyberCrimeCon: «Невозможно сражаться с врагом, не зная его, не понимая его мотивов, инструментов и тактики. Вот почему атрибуция и threat hunting являются основой нашей инженерной философии. Во всем, что мы делаем. Специалисты по расследованиям киберпреступлений по всему миру используют наши решения для поиска злоумышленников, и именно поэтому мы знаем, что технологии — работают».

#cybercrimecon #CCC2020 #ThreatIntelligenceAttribution #ThreatHuntingFramework

💣То что происходит в эти два дня на CyberCrimeCon2020, мы называем «квантовым скачком» в кибербезопасности. Group-IB открыла два новых класса решений для исследования киберугроз и охоты за атакующими — Threat Intelligence & Attribution и Threat Hunting Framework.  

Сейчас мы коротко расскажем, в чем заключается революция инженерной мысли.

🕵️‍♀️ Group-IB первой в мире создала систему нового класса Threat Intelligence & Attribution, способную гибко формировать карту угроз под конкретную компанию, динамически выстраивая связи между разрозненными событиями и атрибутируя атаку до конкретной хакерской группы. В центре внимания новой TI&A — атакующие. Вокруг них выстроена вся идеология системы: выявить не только угрозу, но того, кто за ней стоит. Дальше подключается полиция — задержание, арест, как это было во вчерашней новости от INTERPOL про операцию Falcon.

🕵️‍♀️Появление на рынке TI&A, одной из самых высоконагруженных систем Group-IB, фактически означает открытие нового класса решений для сбора данных об угрозах и атакующих, релевантных для конкретной организации, с целью исследования, проактивной охоты за хакерами и защиты сетевой инфраструктуры. Система «хранит» данные о хакерах и их связях, доменах, IP, инфраструктуре за 15 лет, включая те, что преступники пытались удалить.

🕵️‍♀️Вывод на рынок TI&A открывает доступ к внутренним инструментам Group-IB, до этого времени использовавшимся исключительно командами реагирования, хантинга и киберразведки компании. Теперь каждому специалисту, использующему TI&A, доступен поиск по крупнейшей коллекции данных даркнета, продвинутая модель профилирования хакерских групп, а также полностью автоматизированный графовый анализ, который за секунды помогает провести корреляцию данных и атрибутировать угрозы до конкретной преступной группировки или физического лица. Аналогов TI&A сегодня на мировом рынке нет.

⚔️Второй инновационной премьерой нового класса стала комплексная система Group-IB  Threat Hunting Framework, предназначенная для защиты ИТ и технологических сетей от неизвестных ранее угроз и целевых атак, поиска угроз как внутри, так вне сети, а также расследования инцидентов кибербезопасности и немедленного реагирования на них в целях минимизации последствий.  

⚔️Group-IB Threat Hunting Framework – инновационное решение для унифицированной защиты предприятия целиком: от традиционных IT-сегментов до рабочих мест удаленных сотрудников и  технологических сегментов (ОТ-сетей) производственных предприятий. Единственная в своем классе интегрированная платформа безопасности, использующая технологии «искусственного интеллекта», определяет единые стандарты защиты для таких разных окружений – это «квантовый скачок» рынка информационной безопасности, меняющий привычный расклад в индустрии.

💻Все эти сложные инженерные разработки Group-IB интегрированы между собой и объединены в «умную» технологическую экосистему, способную полностью автоматизировано останавливать целевые атаки на организацию, давая команде безопасности инструменты соединения разрозненных событий вокруг атаки, атрибуции угроз, анализа вредоносного кода и реагирования на инцидент.

📑Есть и еще один важный момент. За все время работы над TI&A и THF инженеры компании создали стэк уникальных технологий мирового уровня. У Group-IB сейчас 33 патента (6 — США, 5 — Нидерланды, 4 — Сингапур, остальные - Россия). Все они выданы на технологические изобретения, составляющие основу TI&А, THF и других инновационных продуктов компании. Кроме того, у Group-IB 55 заявок на патенты (14 — США, 5 — Нидерланды, 12 — Сингапур, 10 — международных, 14 — Россия). Будущее кибербезопасности определяется уже сейчас.

#CardingAction2020 #Europol
Carding Action 2020: Group-IB совместно с Европолом предотвратили ущерб для банков на €40 млн

⚔️Второй день подряд с полей CyberCrimeCon2020 приходят оперативные новости о международных полицейских операциях с участием Group-IB. Сегодня Тобиас Вилох, представитель структурного подразделения Европола — Европейского центра по борьбе с киберпреступностью (EC3), рассказал про операцию Carding Action 2020, направленную на борьбу с подпольным рынком продаж данных скомпрометированных банковских карт.

👮‍♀️Сама операция длилась три месяца и в ней, кроме Европола, приняли участие полицейские Италии, Венгрии, Великобритании, в частности отдел по борьбе с платежными преступлениям службы столичной полиции Лондона и полиция Сити. Group-IB, единственная частная компания в сфере кибербезопасности, участвовавшая в операции, предоставила европейским правоохранительным органам информацию о 90 000 банковских картах, скомпрометированных с помощью фишинговых веб-сайтов, банковских троянов под ПК, Android, а также JS-снифферов, которые злоумышленники внедряют на сайт интернет-магазинов для перехвата вводимых пользователем данных — номеров банковских карт, имен, адресов, логинов, паролей и др.

🕵️‍♀️Весь этот огромный массив разрозненной информации, был тщательно собран из закрытых источников хакерского андеграунда — кардшопов, форумов, ботнетов, JS-снифферов, и проанализирован системой для исследования киберугроз и охоты за атакующими Group-IB Threat Intelligence & Attribution. Чтобы предотвратить незаконное использование украденных данных, сотрудники Европола в режиме реального времени координировали обмен информацией между правоохранительными органами, банками и ведущими платежными системами. В результате операции Carding Action 2020 европейским финансовым учреждениям, по данным Европола, удалось предотвратить потенциальные убытки на сумму около €40 млн.

💻Напомним, что согласно отчету Group-IB Hi Tech Crime Trends 2020-2021, объем рынка кардинга вырос на 116% с $880 млн. до $1,9 млрд. Цена  за текстовые данные банковской карты  (номер, дата истечения, имя держателя, адрес, CVV) составляет в среднем $12 и может достигать $150, за дампы  (содержимое магнитных полос карт) — в среднем $17, максимум - $500. Эксперты Group-IB предупреждают, что угроза кражи данных банковских карт актуальна не только для финансового сектора и eCommerce-компаний, но и для классического ритейла, имеющего свой онлайн-канал продаж

Помните, как в 2017-м году в российских банках орудовала группа Cobalt? А потом появились MoneyTaker, Silence. Похоже эпоха целенаправленных атак на банки с целью вывода денег подходит к концу. Но ущерб от хакерских атак на банковский сектор в мире снова пробил потолок – цифра приближается к $2 млрд. Это свежие данные по трендам киберпреступности с конференции CyberCrimeCon, о которой мы уже писали на днях.  

Вот несколько фактов из отчета Group-IB Hi-Tech Crime Trends. Объем рынка кардинга за год вырос на 116% — с $880 млн до $1,9 млрд. Крадут всё: и текстовые данные банковских карт - номер, дату истечения, имя держателя, адрес, CVV, и дампы – информацию с магнитных полос.

В 2020 году продавались текстовые данные 28,3 млн карт и данные дампов 70,4 млн карт. Для понимания масштабов: в среднем первые продают за $12-14, вторые – за $21-22. Максимальная цена за единицу в первом случае – $150, во втором – $500. 

Номера карт, имена, адреса, логины и пароли стали воровать массово с помощью вредоносного кода на страницах самых разных сайтов – ретейла, eCommerce, гемблинга, букмекеров, где пользователь вводит платежную информацию. Банки вроде не причем, но сдерживать негодующих клиентов с обнуленными счетами все равно им. А где-то и на регулятора можно налететь. 

Интересно, знают ли об этих трендах наши банкстеры? @banksta

#мошенничество #скам
Жулье и жилье: онлайн-мошенники активно осваивают рынок аренды
💣Только за последний месяц появилось около десяти фейковых сайтов, мимикрирущих под популярную базу недвижимости, сообщает сегодня Ъ. Злоумышленники используют стандартные схемы обмана пользователей онлайн-досок объявлений, предлагая внести предоплату, которая в случае аренды жилья может быть достаточно высокой. Количество мошеннических доменов, содержащих названия известных сервисов в разных потребительских сегментах, во втором полугодии выросло больше чем вдвое, предупреждают эксперты.

💻Мошенническая схема, нацеленная на посетителей сайтов по аренде недвижимости, аналогична популярной среди скамеров интернет-афере «Курьер» на досках объявлений. Мошеннику безразлично, чем занимается площадка — арендой недвижимости или продажей велосипедов, для него важно, чтобы на ресурсе сервиса была возможность внутренней коммуникации среди пользователей и «безопасные» сделки внутри самого сайта, что позволяет подменить конечную ссылку на созвучном домене для перевода средств, предупреждает Андрей Бусаргин, заместитель гендиректора Group-IB по защите от цифровых рисков.

⚔️В атаках на сервисы аренды квартир вовлечены те же группировки, которые создавали фейковые сайты популярных курьерских служб, отмечает заместитель руководителя CERT-GIB Ярослав Каргалев. Летом наблюдался рост атак на сайты бронирования отелей,  когда в сезон отпусков люди имели возможность путешествовать только в пределах РФ, потом мошенники переключились на сервисы аренды квартир.  Не стоит исключать внутреннюю конкуренцию у преступных групп, которая мотивирует их искать возможность заработать в новых сферах, рассуждает Каргалев.

👉Специалисты Group-IB рекомендуют онлайн-бизнесу проактивно защищать свои цифровые активы и предотвращать инциденты, связанные с фишингом, скамом и незаконным использованием бренда с помощью технологий выявления и устранения цифровых рисков на основе искусственного интеллекта, а пользователям — соблюдать несколько правил цифровой гигиены:

📌 Доверяйте только официальным сайтам. Прежде чем ввести в какую-либо форму данные своей банковской карты — изучите адрес сайта, «загуглите» его и проверьте, когда он был создан. Если сайту пара месяцев — с большой долей вероятности он мошеннический.
📌 Пользуясь услугами сервисов по аренды жилья или продаже новых и б/у товаров, не уходите в мессенджеры, ведите всю переписку только в чате сервиса.
📌 Не заказывайте товар или не заключайте сделку по предоплате — оплачивайте только тогда, когда получили товар и убедились в его исправности.
📌Большие скидки или «суперакции» — один из признаков того, что перед вами «лот-приманка», а сам сайт создан мошенниками. Будьте осторожны!

#FHP
Свежий: обзор Group-IB Fraud Hunting Platform, системы для борьбы с мошенничеством

🏦Банк России подсчитал, что в 2019 году было проведено более 370 тыс. мошеннических транзакций типа Card-Not-Present и ущерб для отрасли достиг 3 млрд рублей. При этом банки возмещают клиентам только каждый 5-й похищенный рубль, а схемы финансового фрода плодятся и совершенствуются с космической скоростью.

💣Бизнес по-старинке пытается от них загородиться стандартными антифрод-системами, однако, как мы сказали, схем много, они постоянно эволюционируют, к тому же классический антифрод не в состоянии бороться с угрозами, связанными, например, с заражением телефона или ПК пользователя вредоносными программами. Да, и вообще: одних лишь транзакционных данных часто бывает недостаточно, чтобы эффективно бороться с мошенничеством.

⚔️Недавно мы рассказывали, как Group-IB Fraud Hunting Platform, технологическая наследница продуктовой линейки Secure Bank / Secure Portal, помогла 5 крупным российским банкам сохранить 320 миллионов рублей только за один квартал в 2020 году. Коллеги из Anti-Malware решили копнуть глубже и разобраться, как функционирует система и как ей удается бороться с фродом, нашествием зловредных ботов, кросс-банковскими атаками и социальной инженерией (выманиванием реквизитов).

🦾Group-IB Fraud Hunting Platform работает в высоконагруженном режиме, обрабатывая десятки миллионов запросов к интернет-ресурсам и мобильным приложениям и одновременно блокируя на них вредоносную активность. Шутка ли: система ежедневно защищает 130 млн пользователей и позволяет бизнесу не только выявлять мошенничество на ранней стадии, но и еще снижает издержки на колл-центры, SMS-оповещение, расширение операционных лимитов. Все подробности - в обзоре!

🎙 Дорога домой  - лучшее время, чтобы в спокойной обстановке послушать подкаст TheCyberWire, в котором Дмитрий Волков, CTO Group-IB, рассказывает  о трендах, инсайдах и прогнозах из свежего отчета Hi-Tech Crime Trends 2020/2021.

#Lotsy #DigitalRiskProtection #APAC
💣Lotsy снова в строю: Group-IB предупредила о новом мошенничестве с использованием мировых брендов

Горячие новости пришли из Сингапура. Group-IB обнаружила новую масштабную волну мошеннической схемы Lotsy, в которой незаконно используется почти сотня известных мировых брендов, таких как KFC, IKEA, KitchenAid, Golden Village и многих других. Скам-схема Lotsy была впервые исследована специалистами Group-IB в августе 2019 года, но с тех пор она претерпела значительные изменения и нацелена на пользователей Сингапура, Малайзии, Новой Зеландии, Индонезии и Швеции.

⚔️Суть интернет-аферы Lotsy в том, чтобы заманить покупателей на web-ресурсы для прохождения опросов в обмен на подарки и призы якобы от известных брендов. Новая волна  Lotsy стала более сложной и скрытой, в ней используются рекламные кампании на Facebook, поддельные страницы брендов,  а также опросы в формах Google. Но цель не изменилась — сбор персональной информации и данных банковских карт пользователей. Команда Group-IB Digital Risk Protection выявила  250 поддельных страниц Facebook и сотню фейковых ресурсов, и оперативно предупредила представителей пострадавших брендов через Центр обмена информацией и анализа розничной торговли и гостиничного бизнеса (RH-ISAC).

🕵️‍♀️«Мошенники предпочитают использовать сайты социальных сетей для продвижения скам-схемы, поскольку это, конечно, приносит им большой трафик и качественную целевую аудиторию, но есть и другая причина,  — предупреждает Илья Рожнов, руководитель Digital Risk Protection  Group-IB в регионе APAC. — Многие онлайн-покупатели, прежде чем совершить покупку,  обращаются к социальным сетям, а не к Google. Продвижение мошеннической рекламы в Facebook ставит пользователей в невыгодное положение — они практически не способны проверить, принадлежит ли  реклама официальной странице, прежде чем нажать на нее и стать жертвой мошенников».  

💻Встает еще один интересный вопрос  — как отлавливать подобные схемы? Традиционные системы мониторинга выдают предупреждение лишь при упоминании бренда или обнаружении его логотипа, но на некоторых этапах Lotsy торговые марки не упоминаются вовсе, и системы мониторинга не могут задетектировать скам. Для пресечения подобных «продвинутых скам-схем» эффективный мониторинг и блокировка должны включать автоматизированную систему выявления и устранения цифровых рисков на основе искусственного интеллекта, база знаний которой регулярно подпитывается данными об инфраструктуре, тактике, инструментах и новых схемах мошенничества.

#Nuclear #Kudankulam #APT #Declassified
Group-IB связала остановку энергоблока АЭС «Куданкулам» в 2019 году с успешной атакой на корпорацию NPCIL

🎯Атомная энергетика —  трудная, но очень привлекательная мишень для спецслужб и киберкриминала. За последние пару лет интерес к ней проявили 9 групп, связанных с разными государствами, семь хакеров, продающих доступ в энергетические сети, также известно об 11 случаях успешных атак программ-шифровальщиков. За это время объектами нападений были не только структуры ядерной энергетики Ирана, но и Индии, которая активно развивает ядерные технологии и реакторы на основе тория. Давайте подсветим историю, которая долгое время хранилась у нас в папке под грифом Classified, и стала, наконец, публичной благодаря свежему отчету Hi-Tech Crime Trends 2020/2021 (скачать отчет все еще можно тут!).

⚔️В сентябре 2019 года специалисты Group-IB обнаружили архив, содержащий Dtrack — инструмент удаленного администрирования, который атрибутируется к северокорейским хакерам из Lazarus.  Логи содержали данные со скомпрометированного компьютера сотрудника индийской корпорации Nuclear Power Corporation of India Limited (NPCIL). Все файлы в архиве были скомпилированы в разное время, однако основной файл был датирован 30 января 2019 года, то есть более чем за полгода до обнаружения. Похоже, хакеры довольно долго оставались незамеченными в сети.

🧨Вскоре стало известно, что в результате атаки была скомпрометирована АЭС «Куданкулам» — атомная электростанция в Индии, расположенная на юге индийского штата Тамилнад. 19 октября 2019 года второй энергоблок АЭС был отключен. Аналитики Threat Intelligence & Attribution Group-IB предположили, что эти два события — успешная атака на NPCIL и ЧП на «Куданкулам» могут быть связаны. По официальным заявлениям, причина остановки энергоблока — SG level low, то есть давление в парогенераторе, который отвечает за передачу тепла от активной зоны до турбины электрогенератора, было низким. Это могло привести к перегреву активной зоны.

👳🏼После того как исследователь Пухрадж Сингх опубликовал сообщение об атаке в Twitter, администрация АЭС все отрицала. Однако позже индийская корпорация NPCIL признала, что кибератака все же была: троян проник в административную сеть АЭС, заразив один компьютер, но не достиг критически важной внутренней сети, которая используется для управления ядерными реакторами.

🏭Самое интересное, что даже изолированные сети не являются панацеей — арсенал атакующих пополняется инструментами, использующими USB-носители для преодоления так называемого «воздушного зазора» (air gap).  В связи с этим, кроме очевидных рекомендаций сотрудникам не пользоваться непроверенными или сомнительными USB-устройствами и не открывать подозрительные письма и вложения, представителям энергетического сектора мы можем рекомендовать:

📌Уметь выявлять признаки изначального доступа атакующих, их закрепления в системе, продвижения по сети. Для более сложных атак может помочь регулярная проактивная охота за угрозами — Threat Hunting;
📌 Детектировать и регулярно дополнительно проверять свою инфраструктуру на known-bad индикаторы компрометации.
📌Убедиться, что ваши существующие средства защиты могут обнаруживать аномальную активность в контексте использования легитимного программного обеспечения, установленного в организации. Например, запуск нетипичных процессов, создание файлов, модификации файловой системы или реестра, характерные для техник закрепления в системе, и т.п.
📌Поскольку стандартные средства защиты далеко не всегда способны справиться с вышеперечисленными задачами, стоит обратить внимание на Group-IB Threat Hunting Framework  и Group-IB Threat Intelligence & Attribution — два новых класса решений для исследования киберугроз и охоты за атакующими.💪

🎥На YouTube-канале «Люди PRO» Сергея Павловича —  новые серии с Сергеем Никитиным, заместителем руководителя Лаборатории компьютерной криминалистики Group-IB.

👉В пятой части Сергей рассказывает о безопасности смартфонов и мессенджеров: надежны ли "секретные чаты" в Telegram, разбор Signal, Wickr, Threema, как включить «двухфакторку», стоит ли активировать синхронизацию с «облаком», безопасны ли  Zoom, Skype, и даже о том, сможет ли жена разблокировать смартфон через FaceID, поднеся мобильное устройство к лицу спящего супруга😉  

👉В шестой части криминалист Group-IB отвечает на вопросы зрителей и рассказывает о расследованиях и задержаниях — реальные истории из жизни русских хакеров, порой забавные, а порой совсем зашкварные. Смотрим, комментируем💪

Предыдущие серии:

🎞 Часть 1 этого видео: https://youtu.be/Ii8Tm5vBgU0
🎞 Часть 2 этого видео: https://youtu.be/otnlCJDxUUQ
🎞 Часть 3 этого видео: https://youtu.be/N9Vn45mq0Vw
🎞 Часть 4 этого видео: https://www.youtube.com/watch?v=iQE2G0mMR9I

Берите «Комплекс»: Group-IB представила новую услугу комплексного аудита

🥇Если бы среди прогосударственных хакеров проводились турниры на «самую незаметную и длительную кампанию» главный приз, наверняка, получила бы китайская APT Naikon. Почти пять лет кибершпионы скрытно работали против крупных правительственных учреждений в странах Азиатско-Тихоокеанского региона (APAC), используя для кражи данных новый бэкдор Aria-body.

💻Подсчитано, что, прежде чем начать атаку, злоумышленники проводят в сети в среднем примерно 141 день. Методы и техники киберпреступников, напоминает наш свежий отчет Hi-Tech Crime Trends 2020/2021, постоянно совершенствуются, злоумышленники используют новые инструменты и векторы атак, которые не детектируются стандартными средствами защиты. И оценки одной только технической оснащенности уже недостаточно для гарантии готовности к сложным атакам — стоит ли за ними прогосударственная группа, киберкриминал или хакер-одиночка.

🕵️‍♀️"В России технический аудит, как правило, ассоциируется с пентестом, но в ситуации стремительного роста киберугроз и повышения их сложности мы понимаем, что одного пентеста уже явно недостаточно, чтобы быть готовым не только к отражению, но и к предотвращению кибератак, — уверен Валерий Баулин, руководитель Лаборатории компьютерной криминалистики Group-IB. — Современный контекст безопасности требует принципиально нового комплексного подхода  —  досконально исследовать сеть на предмет уязвимостей и компрометации (пентест), оценить готовность к реагированию (Compromise Assessment) и возможность воздействия на сотрудников методами социальной инженерии (обучение)".

🎯Запуская новую услугу «Комплексный аудит», Group-IB планирует проверять компании по трем основным векторам: Процессы-Технологическая инфраструктура-Люди. В исполнении специалистов Group-IB «Комплексный аудит» будет проводиться в два этапа и двумя разными командами, что повышает эффективность выявления уязвимостей и ускоряет процесс.

📌Аудит на предмет внешних угроз

✅Проверка готовности команды ИБ к реагированию для оценки работы действующих в компании регламентов.
✅Внешнее тестирование на проникновение для проверки защищенности инфраструктуры от внешних атак и проникновения злоумышленников во внутреннюю сеть компании.
✅Социоинженерное тестирование для оценки осведомленности сотрудников о киберугрозах и/или проверки способности средств защиты информации выявлять угрозы, связанные с социальной инженерией.

📌Аудит на предмет внутренних угроз

✅Диагностика компрометации инфраструктуры для раскрытия готовящихся атак.
✅  Внутреннее тестирование на проникновение для оценки возможностей нарушителя, имеющего доступ к локальной сети.

📑В итоге заказчик получает комплексный отчет с подробным перечнем обнаруженных уязвимостей, недостатков и результатами каждого из этапов аудита, четкие рекомендации по устранению проблем, итоговую оценку уровня информационной безопасности компании и спокойный сон.  Согласитесь, когда число киберпреступлений за полгода  выросло на 91,7 %, это уже немало.

🕵️‍♀️"Данную услугу я бы сравнил с асептикой и антисептикой в медицине. Как врач не станет зашивать рану, пока не убедится в отсутствии посторонних предметов и загрязнений, так и безопасник, помимо закрытия уязвимостей в инфраструктуре, должен провести мероприятия по поиску уже развивающихся угроз, а также оценить свои способности по борьбе с ними, — замечает Андрей Брызгин, руководитель департамента "Аудита и Консалтинга" Group-IB. — Услуга позволяет нам проводить более полный анализ угроз в инфраструктуре заказчика, и это самый понятный ответ на вопрос: "Как за понятное время наиболее полно оценить подверженность компании текущим и будущим атакам?"

👉Узнать больше и оставить заявку на "Комплексный аудит" от Group-IB можно тут