#Raccoon #FakeSecurity  #Habr
Крошка Енот: как операторы JS-сниффера FakeSecurity распространяли стилер Raccoon
   
👉Летом 2020 года специалисты Group-IB обратили  внимание на необычную кампанию по распространению стилера Raccoon. Сам стилер хорошо известен: он умеет собирать системную информацию, данные учетных записей в браузерах, данные банковских карт, а также ищет информацию о крипто-кошельках.  Raccoon распространяется по модели Malware-As-a-Service на одном из даркнет-форумов в связке с Telegram-каналами для того, чтобы обходить блокировку актуальных C&C-серверов.

🕵️‍♀️Сюрприз оказался в другом. Никита Ростовцев, аналитик Group-IB Threat Intelligence & Attribution, рассказывает, как в ходе исследования удалось восстановить хронологию вредоносной кампании, установить связи с другими элементами инфраструктуры злоумышленников. Забегая вперед, отметим, что «енот» оказался прикормленным уже известными нам хозяевами.

🎯Перед распространением стилера Raccoon злоумышленники в начале 2020 года работали с образцами другого стилера под названием Vidar. Для этого они использовали вложения с вредоносными макросами и фейковые веб-страницы, созданные с помощью фишинг-кита Mephistophilus.

⚔️Схема распространения  напомнила нашим экспертам паттерн, который использовали операторы семейства JS-сниффера FakeSecurity в кампании, описанной в ноябре 2019 года. Помимо сходств в инструментариях двух серий атак, они обе были нацелены на e-commerce-компании. Так, в мае 2020-го эксперты Group-IB обнаружили онлайн-магазины, которые были заражены модифицированным JS-сниффером из кампании FakeSecurity. JS-сниффер был обфусцирован при помощи aaencode, а для хранения кода и сбора украденных данных банковских карт использовались домены, которые были зарегистрированы в период активности второй волны и у тех же регистраторов, что и домены, которые мы обнаружили в исследуемой вредоносной кампании. Таким образом, за компанией по распространению стилеров, как мы считаем, стоят операторы JS-сниффера FakeSecurity. Все подробности - тут

#утечки #панамскоедосье

📑Выложенная и препарированная журналистами переписка Кирилла Шамалова, экс-зятя президента Владимира Путина, довольно поучительная история о том, что бывает, если долго-долго хранить в одном почтовом ящике служебную и личную переписку, не менять пароли, не использовать двухфакторуную аутентификацию, да и вообще закрыть глаза на то, что почту скомпрометировали.

💻В изложении «Важных историй» кейс звучит так: в 2019 году исследователь Трой Хант наткнулся на архив из 773 миллиона адресов и 21 миллион паролей. Таких баз довольно много на хакерских форумах и многие из них представляют собой сборную солянку - компиляцию более старых баз, но многие мировые СМИ сразу назвали «Коллекцию № 1» самой крупной из когда-либо публиковавшихся баз взломанных аккаунтов.

🕵️‍♀️Год спустя некий анонимный доброжелатель, получив доступ к почте Шамалова, передал архив международным журналистам-расследователям: «Он также сообщил, что предупредил Кирилла Шамалова о том, что у него «утащили почту». И это было не первое предупреждение. Еще в июне 2019 года Шамалову пришло электронное письмо от немецкого института Хассо Платнера о том, что пароль от его имейла нашелся в «Коллекции № 1», а значит доступ к почте может получить любой желающий. Шамалов, видимо, не понял, о чем идет речь, и переслал это письмо своему помощнику с вопросом: «Что это?».

⚔️Понятно, что действия "анонимного доброжелателя", который зашел в чужую почту и выкачал архив попадает под статью 272 УК РФ «Неправомерный доступ к компьютерной информации» — не важно, использовал ли он креды из утечки, подобрал сам или украл с помощью фишинга.  В свое время примерно за это присели члены группировки «Шалтай-Болтай», публиковавшие переписку Аркадия Дворковича, депутата Госдумы Роберта Шлегеля, бывшего заместителя начальника управления внутренней политики Администрации президента Тимура Прокопенко и других чиновников.  И если в кейсе Шамалова этический вопрос репортеры-расследователи  для себя решили (общественная значимость темы для них перевесила риски работы с украденными данными), есть и технический момент:  если сами репортеры пытались перепроверить и подставили логи-пассы, то это тоже уголовка. И на компьютерах, с которого был осуществлен вход в чужую учетку, остались цифровые следы.  

🎯У анонимного доброжелателя, как в свое время и у «Шалтая-Болтая», наверняка, появятся подражатели. Как мы предупреждали в отчете Hi-Tech Crime Trends 2020-2021, более серьезной проблемой, чем шифрование данных, может стать хищение конфиденциальной информации и данных о финансовых транзакциях VIP-клиентов и появление таких сведений в открытом доступе. И подставить креды из утекшей базы - это цветочки. Профессиональные хакеры, которые осуществляют целевые атаки, перед шифрованием данных часто проводят разведку, копируют самые ценные данные и часто просят отдельный выкуп за то, чтобы их не публиковать. Это может нанести значительный финансовый ущерб и побудить пострадавших более активно платить атакующим. Да и само разглашение данных о финансовых транзакциях может запустить серию журналистских расследований по аналогии с «Панамским досьӗ» (Mossack Fonseca) в 2015 году, в чем будут очень сильно заинтересованы некоторые спецслужбы.

#ThreatIntelligenceAttribution
💥Недавно мы рассказывали, как технологии Group-IB помогли Интерполу установить участников преступной группы из Нигерии, скомпрометировавшей около 500 тысяч государственных и частных компаний̆, а также о том, как вместе с Европолом мы предотвратили ущерб для банков Евросоюза на €40 млн. В обоих случаях речь — о системе Group-IB Threat Intelligence & Attribution, которая совсем недавно прошла проверку одной из компаний «Большой четверки» (Big Four),  подтвердившей ее соответствие отраслевым рекомендациям в области сбора данных киберразведки Департамента Юстиции США.  

👉Почему это важно?
Рекомендации Департамента Юстиции США (Legal Considerations when Gathering Online Cyber Threat Intelligence and Purchasing Data from Illicit Sources (Version 1.0, February 2020)) на текущий момент являются первым в мире сводом правил, описывающим принципы работы частных компаний в сфере сбора данных киберразведки. Цель документа — регламентировать этот процесс, чтобы снизить правовые риски для организаций, занимающихся изучением угроз на даркнет-форумах.

🕵️‍♀️«Соответствие Group-IB рекомендациям американского регулятора в области сбора данных киберразведки является важным показателем зрелости внутреннего контроля компании и ее приверженности принципам, признанным в профессиональном сообществе», — отмечает Дмитрий Волков, технический директор Group-IB.

👍Почему Group-IB TI&A?
В центре внимания Group-IB Threat Intelligence & Attribution — атакующие: киберпреступники, прогосударственные хакерские группы, хакеры-одиночки. Вокруг них выстроена вся идеология  экосистемы высокотехнологичных продуктов для исследования киберугроз и охоты за атакующими: выявить не только угрозу, но и того, кто за ней стоит.

#здравоохранение #базыданных

📑Оказавшаяся в паблике «сборная база» с персональными данными почти 100 тыс. переболевших коронавирусом москвичей   —  наглядный уровень компетенций IT-специалистов и чиновников, отвечающих за безопасность в здравоохранении. Хранить в 2020 году информацию, составляющую медицинскую тайну, в Excel-таблицах и Word-файлах без авторизации, паролей, политик доступов и других базовых принципов защиты персданных   — это как прятаться, закрывая глаза и думая, что тебя никто не видит.

💣Специалисты давно предупреждали об опасности кибератак на сферу здравоохранения, однако принцип «меня это не касается» слишком часто берет верх. В отличие от Германии, где после атаки вируса-шифровальщика умерла пациентка, или от Сингапура, где кража персональных данных 1,5 млн пациентов, включая премьер-министра страны, принесла медицинской сети SingHealth рекордный штраф в $740 тыс., российское здравоохранение живет пока еще в волшебной стране, где в упор не замечают киберугроз.

⚔️Вчера руководитель департамента информационных технологий (ДИТ) правительства Москвы Эдуард Лысенко, заверил, что инцидент произошел не в результате взлома, а из-за человеческого фактора. Но рисков это не снижает.  Пару лет назад мошенники точечно обзванивали людей, купивших «волшебные пилюли» в аптеках или через интернет, и разводили на получение компенсаций, которые им якобы полагаются. Или - еще более чудовищный случай - сообщали пациентам частных клиник  вымышленный страшный диагноз, чтобы заставить перепуганных людей быстро перевести деньги  — забронировать «последнее место» в палате.

💻Вот и полный расклад по москвичам, переболевшим Covid-19, наверняка, породит еще несколько вариантов разводок. Сами схемы описывать не будем, отметим лишь, что персданные переболевших могут быть использованы для обзвонов, таргетированной фишинговый рассылки и любых других типов атак с использованием методов социнженерии: чем больше данных знает о жертве мошенник, тем проще его задача. Напомним, что в «сборной базе» содержится около 2000 файлов и, кроме таблиц Excel и документов Word, там присутствуют  паспортные данные, а также фото и скрины, предположительно, из систем ЕМИАС и 1С, используемых для мониторинга. Также в базе могут содержаться SSL-сертификаты, и гипотетически, если они действительны и подлинны, злоумышленники смогут использовать их при атаках с подменой сертификата.

✅Очевидная вещь — «цифровая гигиена» должна уже быть в каждом медицинском учреждении, в каждой организации, имеющей отношение к медтайне или персданным. Но одного этого, конечно, не достаточно. Техническими мерами для профилактики подобных инцидентов и предотвращения кибератак  служат комплексные системы кибербезопасности, позволяющие осуществлять мониторинг периметра защиты, следить за тем, что происходит внутри него и параллельно осуществлять исследование угроз, появления данных как в публичных, так и в андеграундных сегментах Интернета для немедленного реагирования на подобные инциденты. Также важно регулярно комплексно проверять уровень защищенности подобных систем, что особенно критично, если речь идет о медицинской тайне и персданных.

#обзор #АСУ_ТП #THF
#THF
Объекты критической инфраструктуры: опасная иллюзия защищенности

💣Весной 2020 года Национальный кибердиректорат Израиля (INCD) выпустил предупреждение для компаний, работающих в сфере энергетики и водоснабжения, в котором предупредил о возможных кибератаках на автоматизированные системы управления технологическим процессом (АСУ ТП) водоочистных сооружений, водонасосных станций и канализационные сети, а также рекомендовал оперативно сменить пароли для всех подключенных к интернету систем. Чуть позже  The Financial Times, ссылаясь на свои источники, сообщило, что хакерам все-таки удалось получить доступ к системам очистки воды и они даже удаленно пытались изменить уровень содержания хлора, что вызвало бы волну отравлений.  

👉Этот кейс был приведен на международный конференции CyberCrimeCon2020 для иллюстрации иллюзии неуязвимости изолированных сетей госпредприятий, где формальный подход к обеспечению их кибербезопасности, усиливается недостатком финансирования, специалистов, а порой и здравого смысла.

💣Мотивы киберпреступников, атакующих АСУ ТП, могут быть разными: вывод из строя оборудования и остановка производства, промышленный шпионаж или военная разведка. Чаще всего атакующие используют три основных сценария:

📌Целенаправленные атаки — обычно почтовая рассылка вредоносных программ с использованием социальной инженерии на рабочие машины в корпоративной сети. Целевые атаки на технологические сети иногда развиваются годами.
📌Заход с внешнего периметра — проникновение в корпоративную сеть через веб-сервисы, «торчащие наружу», например, корпоративный портал или почтовый сервис.
📌Атаки на предприятия, использующие подход air-gap, т.е. поиск «воздушного зазора» для проникновения в физически изолированные критические сегменты сети. В этом случае вредоносные программы может попасть в технологическую сеть, например, через флешки.

🕵️‍♀️Эксперты Лаборатории компьютерной криминалистики Group-IB, утверждают, что в 90% случаев атаки на технологический сегмент идут именно через корпоративные сети, то есть по первым двум сценариям.  Потому решения, обеспечивающие безопасность инфраструктуры объектов промышленности и производства, должны быть комплексными и способными выявлять кибератаки на любом этапе. Их задача — полностью контролировать сеть, мониторить аномалии и нестандартную сетевую активность АСУ ТП, фиксировать недокументированные возможности промышленных протоколов, отслеживать все действия в сети.

📑IT-World подробно рассказывает про Sensor Industrial, программно-аппаратный комплекс для раннего обнаружения сложных угроз и реагирования на атаки в промышленном секторе. Впервые он был представлен на CyberCrimeCon2020 как часть комплексной системы Threat Hunting Framework (THF). Все подробности — в обзоре IT-World.

#рассылки_ВПО #THF
След протектора: как киберпреступники прятали стилеры в презентации от «подрядчика МГУ»

📑"Привет из МГУ. М.В.Ломоносов, Внимание: по рекомендации вашей компании мы выступаем в качестве подрядчика МГУ. М.В.Ломоносова под руководством доктора философских наук. Виктор Антонович Садовничий. Нам нужно ваше предложение по нашему бюджету на 2020 год (прилагается). Подайте заявку не позднее 09 ноября 2020 года. Спасибо и всего наилучшего".

🤷‍♂️Получатель этого странного послания, даже очень далекий от научных кругов человек, сразу обратит внимание на две вещи: письмо написано безграмотно, а, во-вторых, ректор МГУ может быть философом лишь по состоянию души — Виктор Антонович на самом деле доктор физико-математических наук, но никак не философских.

⚔️СERT-GIB подтвердил догадку — сентябрьские почтовые рассылки от имени подрядчика или руководства МГУ  — были фейком, более того они несли «на борту» популярные вредоносные программы для кражи данных (Data Stealer) — Loki или AgentTesla . Однако пост не про них, а об их незаметном помощнике — протекторе, которые защищает программы-шпионы от обнаружения. О том, какие техники использует этот протектор, и как аналитикам удалось сквозь них добраться до исполняемого файла AgentTesla, рассказывает Илья Померанцев, руководитель группы исследований и разработки CERT-GIB.

💪От себя добавим, что, несмотря на все ухищрения, вредоносная рассылка не смогла "затащить" малварь на компьютер пользователя — ее обнаружила комплексная система Group-IB  Threat Hunting Framework, предназначенная для защиты ИТ и технологических сетей от неизвестных ранее киберугроз и целевых атак.

​​На прошлой неделе мы писали про то, как Facebook раскрыла компанию CyberOne Group, стоящую за одной из активных прогосударственных APT Ocean Lotus aka APT 32, работающей на правительство Вьетнама. Тогда никаких технических подробностей не было сообщено.

Теперь же к утверждению Facebook присоединилась Group-IB, сообщив вкрации (да, мы и так можем!) основные моменты атрибуции, полученные с помощью своей новой системы Threat Intelligence & Attribution. Good job!

💪Group-IB и Билайн Бизнес (структурное подразделение ПАО «ВымпелКом») , запускают «Сервис защиты от киберугроз» — облачный сервис для клиентов оператора из сегмента среднего и крупного бизнеса. Услуга реализована на базе комплексного решения нового класса Group-IB Threat Hunting Framework, способного защищать сеть компании и рабочие места сотрудников, в том числе, удаленные, за счет запатентованных технологий обнаружения кибератак и немедленного реагирования на инцидент.

💻Клиенту оператора не нужно устанавливать никаких аппаратных или программных модулей на своей стороне для того, чтобы обеспечить кибербезопасность уровня Enterprise. Сервис подключается прозрачно и реализуется на облачных вычислительных мощностях Билайн Бизнес.

⚔️Ключевые задачи, которые решает инновационная система Group-IB Threat Hunting Framework (THF) — обнаружение неизвестных ранее угроз и целевых атак, блокировка задетектированных угроз и предоставление автоматизированных инструментов для обнаружения связанных угроз как внутри, так и за пределами защищенного периметра компании. THF экономит деньги бизнеса и время аналитиков, автоматически коррелируя разрозненные события вокруг одной атаки и позволяя атрибутировать ее до хакерской группы и даже конкретных людей, стоящих за ней.

🕵️‍♀️«Сервис защиты от киберугроз», созданный нами совместно с Group-IB, позволяет эффективно обнаруживать все актуальные виды киберугроз: эксплойты, трояны, бэкдоры, вредоносные скрипты, скрытые каналы передачи данных, фишинговые ссылки и атаки с использованием легитимных инструментов, — подчеркнул Евгений Коробов, директор по развитию нового бизнеса ПАО «Вымпелком». —  В современной экономической ситуации бизнесу трудно инвестировать в дорогостоящее оборудование, поэтому мы разработали сервисную модель, позволяющую пользоваться мощным эффективным решением по оптимальной цене. Впервые на российском рынке защита такого уровня стала доступна даже небольшим компаниям».

#Fxmsp #SolarWinds
«Невидимый бог сети» продавал доступ к SolarWinds в 2017 году

😱В США — новый скандал: хакеры несколько месяцев шпионили за компаниями, ведомствами и пользователями, которые скачивали зараженное обновление к ПО от компании SolarWinds. По данным Комиссии по ценным бумагам и биржам США, пострадать от действий киберпреступников могли по меньшей мере  18 тыс. пользователей. После сообщений об атаке акции SolarWinds рухнули почти на 25%.

⚔️Команда Group-IB Threat Intelligence & Attribution, обнаружила интересный поворот в этом кейсе —  хакер из Казахстана, известный как Fxmsp, еще в октябре 2017 года продавал доступы к http://solarwinds.com и http://dameware.com (программное обеспечение дистанционного управления от Solarwinds) на известном андеграундном форуме exploit[.]in. Эти компании были одними из первых, доступы к которым Fxmsp выставил на продажу в паблике. Всего же за три года он скомпрометировал сотни компаний в 44 странах мира. По минимальным оценкам прибыль Fxmsp за период его активности могла составлять 1,5 млн долларов (около 100 млн. руб.).

💻Напомним, что в июне этого года Group-IB представила аналитический отчет «Fxmsp: невидимый бог сети», раскрывающий личность хакера под ником Fxmsp, а месяц спустя Департамент юстиции США опубликовал обвинительное заключение в отношении гражданина Казахстана Андрея Турчина (aka «Fxmsp»), которого обвиняли  в совершении различных  киберпреступлений.

#вебинар
"Цифровые риски 2020: Тренды и прогнозы"
💣"Кролик", "Курьер", "Двойной обман" — три  самых  популярных скам-схемы уходящего года. Интернет-мошенничество стремительно развивается, как технологически, так и в методах социальной инженерии. Таргетированная реклама, генерация трафика и персонализация предложений уже давно не просто инструменты для digital-маркетинга, но и грозное оружие киберпреступников.

🕵️‍♀️Group-IB приглашает на вебинар "Цифровые риски 2020: Тренды и прогнозы", на котором ведущие эксперты направления Digital Risk Protection расскажут о новых способах мошенничества и методах защиты от них.

✅Присоединяйтесь к трансляции 22 декабря в 11:00 (МСК) и вы узнаете:

📌О видах и динамике роста мошенничества в 2020 году;
📌Персонализация - новая парадигма привлечения трафика;
📌Scam-as-a-Service и другие тренды онлайн-мошенничества;
📌Релевантные кейсы и прогнозы .

Регистрация тут 👈

#суверенный_интернет #Минкомсвязь
Чек-лист суверенного интернета от Ильи Сачкова

🖥Генеральный директор Group-IB Илья Сачков  высказал свое отношение к построению суверенного интернета в России и назвал необходимые условия для того, чтобы он появился.
✅Подписывайтесь на аккаунт Ильи Сачкова (@sachkot) в Instagram , официальный канал Group-IB в Instagram  и Telegram.

Обновки AgentTesla: командный центр в Telegram, TorProxy, стилер паролей и другие новые фичи

🖥На днях мы рассказывали про протектор, который скрывает вредоносную программу AgentTesla, заслуженного пенсионера на рынке вредоносного ПО. Однако старичок и не думает уходить со сцены, своей популярностью он обязан в том числе постоянной тех поддержке  — в этом году авторы AgentTesla снова обновили свой стилер. Илья Померанцев, руководитель группы исследований и разработки CERT-GIB, рассказывает о новых возможностях AgentTesla. Новый функционал, например, взаимодействие через Telegram, может стать проблемой для организаций, в которых используют этот мессенджер, а модуль TorProxy позволит злоумышленникам скрывать настоящие командные центры.

✅Эффективное противодействие подобным вредоносным программам возможно только на уровне инновационных инженерных решений. Например, система нового класса Group-IB Threat Hunting Framework способна защищать сеть компании и рабочие места сотрудников, в том числе удаленные, за счет запатентованных технологий обнаружения кибератак, мощному инструменту поведенческого анализа файлов, извлекаемых из электронных писем, сетевого трафика, файловых хранилищ — модулю Polygon, а также интеграции с системой киберразведки Threat Intelligence & Attribution.

Напоминаем, что 23 декабря в 11:00 в формате онлайн начнётся общественная дискуссия о внедрении и использовании в России цифрового рубля.

На вопросы зрителей ответят первый зампред ЦБ Ольга Скоробогатова и зампред ЦБ Алексей Заботкин. Свой вопрос можно оставить через бот.

Организаторы open talk – Ассоциация корпоративных казначеев и ВТБ.

О цифровом рубле и информационной безопасности рассказывает Илья Сачков @Group_IB. Мнение других экспертов по теме: смотреть

#интервью #TI_A                                                                                                                                                               «Мы помогаем бизнесу видеть угрозы, не покрываемые традиционными средствами защиты»

👉Уходящий 2020 год установил новые антирекорды в сфере киберпреступности, поставив бизнес и госорганизации сразу перед несколькими важными вопросами. Эффективны ли используемые ими технологии защиты, если утечки все равно происходят, доступы к взломанным инфраструктурам продаются в даркнете, а операторам шифровальщиков по-прежнему платят многомиллионные выкупы за возврат данных.

👉 Руководитель департамента системных решений Group-IB Станислав Фесенко рассказал Cnews :

📍С какими киберугрозами столкнулся мир в 2020 году?

📍Как TI&A - новый класс решений по киберразведке, выстроенный вокруг атакующих - выявляет атаки и кто за ними стоит?

📍Почему TI&A - это целая экосистема и как она способна защитить компанию из любой отрасли - от финансов до ретейла?

📍Почему в настоящее время важно наращивать опыт хантинга?

Работа, которая имеет смысл: Group-IB усиливает команду технических специалистов

🔥 Group-IB — это новое поколение инженеров. Мы воплощаем смелые идеи, создавая инновационные технологии для расследования киберпреступлений, предотвращения кибератак, слежения за атакующими, их тактикой, инструментами и инфраструктурой.

✅Стань частью команды Group-IB и меняй мир вместе с нами! Открыто 120+ вакансий, в том числе 60 – для технических специалистов.

🕵️‍♀️Group-IB сейчас:
📌Глобальная штаб-квартира в Сингапуре, европейский офис - в Амстердаме.
📌Нас уже более 500 человек, из них  80%  – технические специалисты.
📌Средний возраст сотрудника компании – 26 лет.
📌Технологии Group-IB  — Threat Intelligence&Attribition, Threat Hunting Framework, Fraud Hunting Platform, Digital Risk Protection — защищают клиентов в 60 странах мира.  Мы создаем новые классы решений, у которых нет аналогов в мире. Подробности — в видео технического директора Group-IB Дмитрия Волкова.

🔥 Если тебя вдохновляют технические задачи, присоединяйся к нам и пиши прямо сейчас: job@group-ib.com. Тема письма: «Group-IB — работа, которая имеет смысл».

Group-IB
Group-IB — работа, которая имеет смысл. Технологии, аналогов которым нет
Объявляем сезон охоты за техническими специалистами Открыто 120+ вакансий! Присоединяйся к нам!

🎥В гостях у канала «Мы обречены» — Дмитрий Волков, технический директор Group-IB, один из основателей компании. Как была создана Group-IB? Как думают киберпреступники? Как выявить и обезвредить хакеров? Обо все этом —  в этом видео:
👉«Я  специализируюсь на том, как действуют атакующие. Я изучаю, как взламывают другие. У них фантазии и навыков побольше. Так и получаешь знания».
👉«Почему мы стали успешной компанией? Мы были единственными, кто реагирует на инциденты и занимается компьютерной криминалистикой и расследованиями».
👉 «Всегда есть какие-то следы – вредоносные программы, откуда они были скачаны, кто их разрабатывал, куда они отправляли данные, по каким каналам. Мы устанавливаем, кто в конечном итоге стоит за атакой».

#UltraRank #SnifLite

🎯В ноябре 2020 года специалисты Group-IB обнаружили десяток e-commerce-сайтов, зараженных сниффером, код которого был обфусцирован, ну или проще говоря — спрятан,  при помощи Radix-обфускации. Ее обычно использовали всего несколько преступных групп, в том числе небезызвестные UltraRank, атаковавшие за пять лет 691 онлайн-магазин и 13 поставщиков услуг для сайтов ( помните, мы еще выкатили про них  летом отчет "UltraRank: Незамеченная эволюция угрозы JS-снифферов»).

🕵️‍♀️Исследование подтвердило гипотезу. После деобфускации кода стало ясно, что в атаках применяется уже известный специалистам Group-IB сниффер семейства SnifLite, стоящий на вооружении у все той же группы UltraRank.  Что самое интересное, на момент обнаружения новых атак часть инфраструктуры группы, описанной в августовском отчете, все еще оставалась активной, однако злоумышленники не стали использовать существующие домены для новых атак, а переключились на новую инфраструктуру для хранения вредоносного кода и сбора перехваченных банковских карт. Виктор Окороков, аналитик Threat Intelligence & Attribution Group-IB, рассказывает все подробности исследования в нашем блоге.
✅ Важно отметить, что атаки на онлайн-магазины с использованием вредоносных JavaScript-скриптов для кражи данных банковских карт становятся все более популярным способом получения большого количества платежной информации пользователей для последующей перепродажи. Специалисты Group-IB составили список рекомендаций, которые помогут различным участникам онлайн-торговли минимизировать потенциальный ущерб, предотвратить заражение или обнаружить существующую вредоносную активность в соответствии с MITRE ATT&CK и MITRE Shield.

#RussianOSINT #YouTube

🎥В гостях у You-Tube-канала Russian OSINT Рустам Миркасымов, руководитель отдела исследований киберугроз европейской штаб-квартиры Group-IB в Амстердаме.

🕵️‍♀️Это первая часть большого интервью, в котором Рустам подробно рассказывает о своей работе, Threat Intelligence, Threat Hunting, технологиях которые помогают предотвращать кибератаки, проводить исследования и атрибуцию.

✅В этом выпуске:
📌Как киберразведчики охотятся за хакерами?
📌Почему нужна нулевая терпимость к киберкрайму?
📌Важны ли сертификаты при трудоустройстве?
📌Почему глобальная штаб-квартира Group-IB переехала в Сингапур?
📌Почему так всё сложно с кадрами в ИБ?
📌Реально ли без образования реально устроиться на работу и топовые ИБ вузы в России?

Смотрим видео, лайкаем, комментируем и задаем вопросы👍