Три этюда о пиратском софте: как скачанная программа может втянуть в киберпреступление

🖥 Случалось такое: надо срочно найти утилиту под специфическую задачу, например, «конвертер видео», но точного названия не знаешь и надо гуглить? Другие пытаются сэкономить и сразу используют установщик для пиратского софта. Перейдя по первой же ссылке в поисковой выдаче и обнаружив заветную кнопку Download, пользователь без особых раздумий запускает скачанный софт, даже не подозревая, какую опасность может скрывать обычный, на первый взгляд, файл.

🕵️‍♀️Илья Померанцев, руководитель группы исследований и разработки CERT-GIB, рассматривает три кейса, жертва которых могла стать «входными воротами» для вредоносной программы и даже случайным соучастником хакерской атаки.  Напомним, что летом эксперты Group-IB проверили более 3100 пиратских сайтов на наличие вирусов и других уязвимостей, а также на присутствие в «черных списках» антивирусных компаний и поисковых сервисов. Установлено, что почти 23% пиратских ресурсов, посещаемость которые в марте достигла 76,8 млн посещений, представляют опасность для пользователей.

🕵️‍♀️Белая «девятка» и прежние места работы — что можно узнать об Алексее Пивоварове всего за 50 рублей.  Данные о перелётах можно просто купить в интернете? Это правда так просто? Сергей Никитин, зам руководителя Лаборатории компьютерной криминалистики Group-IB, рассказал «Редакции» о том, как работает подпольный рынок пробива.

🎥В свежем выпуске «Редакция» разбирается в механике нашумевшего расследования отравления Алексея Навального, которое сделали издания Bellingcat и Insider. Как они смогли найти данные сотрудников ФСБ, отследить их, получить сведения о звонках и переписках? Многие (включая Путина) объясняют это поддержкой западных спецслужб. В итоге получился увлекательный детектив — расследование о расследовании. Смотрим!

#Интервью #Сачков #РБК
🕵️‍♀️Как выглядит типичный хакер, каким компаниям стоит думать об усилении защиты от киберугроз и почему не стоит удалять обнаруженный на компьютере вирус, РБК рассказал глава Group-IB Илья Сачков. Вот несколько ярких цитат из его интервью:

📌Мы компания инженерного нейтралитета. За годы работы мы показали и расследованиями, и технологиями, что мы за борьбу с преступностью, где бы она ни находилась.

📌В России [у хакера] в приоритете деньги, дорогие машины, дорогие часы, отдых за рубежом. Пытается играть в Дона Корлеоне, искать контакты в правоохранительных органах, сплачиваться с ними, хотя бы с бывшими сотрудниками, искать помощников себе в политике, которые смогут объяснить войной с Америкой, почему русские хакеры воруют деньги, говорят, что они патриоты.

📌Чего не хватает, чтобы раз и навсегда победить хакеров? Мозгов и честности у тех, кто должен помогать с ними бороться.

📌Проблема России — в невысоком уровне принятия инноваций, сколько бы о них ни говорили. Как-то даже придумал шутку на эту тему. Если в США стартап приходит в крупную компанию, рассказывает потрясающую идею, то тут же получает инвестиционный раунд, его стоимость вырастает до $500 млн. У нас же в госкомпании обязательно найдется человек, который после совещания скажет: «Слушайте, а почему мы не можем сделать это сами?».

📌Кибербезопасность в мире считается наукой. Наши отчеты — это научная работа. Таких компаний, как наша, в мире всего около десятка.

Подробнее на РБК👈

#Интервью #Сачков #РГ
🎯В свежем номере "Российской газеты" сегодня вышло еще одно интервью Ильи Сачкова, генерального директора и основателя Group-IB. Почему преступные группы, атаковавшие российские банки, сменили тактику, какой ущерб наносят  атаки шифровальщиков, и как бороться с тем, что сейчас практически любой может купить готовые инструменты для взлома и почувствовать себя хакером — подробности в  "РГ" .

📌 Тезис очень простой: нужно бороться не с последствиями, а с причиной киберпреступлений. Нужно бороться с людьми, которые являются производителями вредоносного программного обеспечения. Этих людей нужно уметь отслеживать, "связывать" их с инструментами, которые используются для атаки, атрибутировать атаки и в итоге выявлять группы, которые проводят атаки, или конкретных физических лиц, которые к этим атакам причастны. А дальше - сажать. "Охотиться" за ними (Threat Hunting - охота за угрозами, англ.) - это единственный способ победить преступность. То есть блокировать сайты, которые это распространяют, не то чтобы бесполезно, но на самом деле технически заблокировать все невозможно. Преступность все равно найдет способ, как обойти запреты.

#алкоголь #дубликаты #контрафакт
Соцсети градус крадут:  Group-IB оценила оборот нелегальной онлайн-продажи алкоголя в 2020 году

🥃Четвертый год подряд эксперты Group-IB Digital Risk Protection оценивают оборот нелегальной интернет-продажи алкоголя — все эти годы наблюдался активный рост «теневого» рынка: в 2017 году — 1,7 млрд рублей, в 2018 году — 2,1 млрд. руб, в 2019 году — 2,5 млрд рублей. И вот сюрприз — в 2020 году рынок остался в прежних объемах — в 2,5 млрд. руб.  Объясняем, как так вышло.  

📌Из-за ограничений, связанных с пандемией, сократились поставки алкоголя на корпоративы, праздники и другие массовые мероприятия, а также в небольшие питейные заведения и торговые точки. Покупатели все чаще заказывали алкоголь не для корпоративов, дружеских застолий или семейных праздников, а исключительно «для себя».  Но заказывали от души. Пик поисковых запросов “купить алкоголь с доставкой” пришелся на первую волну коронавируса — в апреле 2020 года число запросов в 4 раза превысило показатели апреля 2019 года.

📌Розничная продажа алкоголя дистанционным способом в России запрещена, специализированным магазинам, крупным сетям и производителям так и не разрешили розничную торговлю в онлайне, хотя некоторые и пытались. Активная блокировка со стороны официальных производителей и Роскомнадзора подпольных сайтов-алкомаркетов привела к их постепенному сокращению. Если в 2019 году было обнаружено около 2 500 крупных интернет-ресурсов, торгующих алкогольной продукцией в интернете, то в 2020 году их осталось уже около 2 000.

📌Главным источником алкозакупок «для себя» по итогам года стали Instagram и Telegram — по объему продаж соцсети и мессенджеры (1,3 млрд рублей ) уже обошли традиционные онлайн-ресурсы (1,2 млрд рублей). За год число крупных аккаунтов в Instagram, реализующие доставку алкогольной продукции и дубликатов известных марок алкоголя выросло более чем в 2 раза — до 100 групп — по сравнению с 2019 годом.  Кроме того, в Telegram выявлено более 50 активных каналов и групп (в 2019 году — было 30).

🍷«Несмотря на все принятые со стороны государства меры — блокировки и преследование нелегальной интернет-торговли алкоголем, алкодиллеры перевели свой бизнес в социальные сети и мессенджеры, где пока чувствуют себя абсолютно безнаказанно, — замечает Андрей Бусаргин, заместитель генерального директора Group-IB по направлению Digital Risk Protection. — Люди, оказавшиеся на удаленке или в самоизоляции привыкли покупать продукты и товары в интернете, хотя в случае с алкоголем они фактически покупают «кота в мешке» и рискуют своим здоровьем». Подробности - в этом видео🎥

#RockITChallenge: We Wish You A Merry Christmas!
#RockITChallenge: We Wish You A Merry Christmas!
🎄Это панк-рок, #КРОК!  Мы объявляем рок-челлендж и бросаем первую музыкальную перчатку нашим любимым партнерам из #КРОК. Ждем вашего музыкального видеответа и выбора нового претендента из IT-компаний на рок-дуэль.
💣А сейчас встречайте хедлайнеров нашего #RockITChallenge — команду Threat Metal, состоящую из сотрудников Group-IB, которые в обычное время занимаются киберкриминалистикой, пентестами, ИТ-саппортом и продажами, а сегодня  исполняют новогоднюю нетленочку в бодрой панк-рок версии — We Wish You A Merry Christmas!🥂

#РусскоеЛото #Голосование
Group-IB проверит итоги голосования по распределению главного приза в новогоднем розыгрыше «Русского лото»

🎄Group-IB проанализирует базу данных и результаты голосования по распределению главного приза — миллиарда рублей в рамках новогоднего розыгрыша «Русского лото». Он состоится 1 января 2021 года в прямом эфире телеканала НТВ в рамках шоу «Новогодний миллиард». Впервые в истории государственных лотерей судьбу главного приза — новогоднего миллиарда определили сами участники: всенародное голосование проходило с 19 октября по 30 декабря 2020 года.

🎄«Финальная база голосов была передана нам в полночь 30 декабря 2020 года сразу после окончания процесса самого голосования, — рассказал Сергей Никитин, заместитель руководителя Лаборатории компьютерной криминалистики Group-IB. — Наши специалисты проверяют ход голосования на отсутствие аномалий, которые могли бы повлиять на результат, например, дублирование голосовавших номеров, признаки накрутки голосов, аномалии по времени или региону и другие. Сроки очень сжатые, но мы провели подготовительный этап и автоматизировали часть процессов поиска аномалий, что позволит нам проанализировать базу голосов качественно и оперативно. Завтра мы огласим результат нашей проверки в прямом эфире шоу «Новогодний миллиард».

🎄Напомним, что Group-IB уже имеет профильный опыт проведения комплекса работ по обеспечению прозрачности и объективности результатов голосования в публичных проектах. Предыдущим кейсом компании в этой сфере было исследование результатов голосования за победителя детского шоу «Голос» на Первом канале весной 2019-го года.

#Хабр #Аудит #Вишинг
Атакуем человека: какое социотехническое тестирование выбрать в 2021 году?

📲 Здравствуйте, Татьяна Игоревна! Звоню вам по просьбе руководителя Владимира Алексеевича. У нас произошел инцидент ИБ: по вашему пропуску сегодня через систему контроля управления доступом был зафиксирован проход в хранилище. Вы пользуетесь ноутбуком только как рабочим компьютером или по каким-то еще личным делам?
📲 Ну, смотрю YouTube еще.
📲  Да-да, я понимаю. Не переживайте. Просто возможно, что ваша доменная учетная запись была скомпрометирована и с ее помощью смогли пройти через СКУД.

🕵️‍♀️Это реальный телефонный разговор, который состоялся в выходной день между специалистом департамента аудита и консалтинга Group-IB и сотрудником компании, где проводили социотехническое тестирование. Эксперт должен убедить «Татьяну Игоревну»  проверить доменную учетную запись на факт компрометации и аутентифицироваться на резервном портале, который на самом деле оказывается фишинговым ресурсом.

🎯Человек — самое слабое звено в системе защиты любой компании, поэтому вишинг, разумеется, взяли на вооружение не только «черные», но и «белые шляпы». В этом посте команда департамента аудита и консалтинга Group-IB делится своим уникальным опытом социотехнического тестирования, а также дает полезные рекомендации на 2021 год.

#Интервью #Волков #Information_Security
«Прежде всего, TI&A  — это знание об угрозах»
✅В свежем номере журнала Information Security вышло интервью Дмитрия Волкова, технического директора Group-IB и руководителя департамента Threat Intelligence&Attribution.
👉С чего начиналась Group-IB, с кем сейчас конкурирует компания, с какими угрозами миру предстоит столкнуться в 2021 году и почему незаменимы Threat Hunting Framework и Threat Intelligence&Attribution – подробности в материале. А еще – кейсы из реальной практики, советы и рекомендации. Must read!

#колонка #Фесенко #Mustread

Вне зоны доступа: актуальные киберугрозы для телеком-отрасли

⚔️В начале 2020 года мощная DDoS-атака оставила без интернета и связи - почти на семь часов - пользователей в Иране. Кроме сайта госуслуг, пострадали два популярных мобильных оператора. Иран обвинил в инциденте США, расценив кибератаку как ответную реакцию на ракетный обстрел американских баз в Ираке.

✅Руководитель департамента системных решений Group-IB Станислав Фесенко в колонке для Comnews обозначил основные киберриски для телекоммуникационной отрасли и рассказал, как противостоять злоумышленникам.

📌Почему это важно? В современном мире максимальный социальный и экономический ущерб может быть нанесен за счет отключения пользователей и бизнеса от связи и интернета. Мы уже привыкли быть на связи 24/7, тем более когда в условиях пандемии компании массово перевели сотрудников на дистанционный формат работы. Злоумышленники, получившие доступ к инфраструктуре телеком-компаний, могут не только завладеть персональной и финансовой информацией пользователей, но и оставить город, регион, а то и целую страну без связи.

📌В финале технический эксперт Group-IB не только дает советы для защиты от DDoS-атак и BGP-Hijacking (незаконный захват/утечка пулов IP-адресов), но и рекомендует новые классы решений: Group-IB Threat Intelligence & Attribution (TI&A) для сбора данных об угрозах и атакующих, проактивной охоты за хакерами, и Group-IB Threat Hunting Framework для защиты ИТ и технологических сетей от неизвестных ранее угроз и целевых нападений, поиска угроз как внутри, так и вне сети, а также расследования инцидентов кибербезопасности и немедленного реагирования на них в целях минимизации последствий.

#WhatsApp #Telegram
"Абсолютно защищенных мессенджеров не бывает"
📱После объявления WhatsApp о том, что он будет передавать данные Facebook, пользователи миллионами уходят в другие мессенджеры. Telegram и Signal (последний — после рекламы лично Илоном Маском) зафиксировали резкий всплеск новых скачиваний: по данным аналитической платформы мобильных приложений Sensor Tower, во всем мире с 6 по 10 января Signal установили почти 7,5 млн раз, Telegram — 5,6 млн. The Bell опросил  экспертов в сфере кибербезопасности о том, какой из популярных мессенджеров на самом деле надежнее, и изучил исследование команды департамента аудита и консалтинга Group-IB — сравнительный анализ защищенности трех мессенджеров, которые чаще других относят к самым защищенным — Telegram, Signal, Wickr Me. Результаты получились неожиданными, подробности  — тут.

🕵️‍♀️«Абсолютно защищенных мессенджеров не бывает, — напоминает Павел Супрунюк, заместитель руководителя Департамента аудита и консалтинга Group-IB. —  Речь идет не столько об их уязвимостях или взломах, сколько об архитектуре. В любой публичной программе – коммерческой или бесплатной, популярной или малоизвестной  – сообщения проходят через серверную часть, которую контролируют только владельцы. На сервере данные хранятся достаточно длительное время. Алгоритмы обмена сообщениями, даже если спецификации или исходный код мессенджера открыт, рядовой пользователь в любом случае проверить не может. К сожалению, нет гарантии, что при обновлениях программа будет строго следовать своей политике конфиденциальности. Существуют и иные риски. Мессенджер оставляет на смартфоне цифровые следы: оффлайн-копии сообщений или важные мета-данные, которыми могут воспользоваться шпионские программы, если смартфон заражен».

#Telegram #Apple
☝️«Вот эта гуляющая по сети инструкция, якобы помогающая «спасти» Telegram от удаления, абсолютно бесполезна, если в Apple удалят аккаунт разработчика, а не только само приложение, как это было в случае с Fortnite, — уверен Cергей Никитин, замруководителя Лаборатории компьютерной криминалистики Group-IB. — На самом деле этот «лайфхак» помешает самим пользователям вообще удалять приложения с IPhone, что очень неудобно, а в случае смены смартфона или восстановления данных из резервной копии, приложение может исчезнуть вовсе. В целом, формальных поводов для бана Telegram на данный момент я не вижу.  В отличие от американского сервиса микроблогов Parler, который был заблокирован Apple за отказ ввести модерацию и удалять неприемлемые посты,  Telegram имеет жесткую модерацию и довольно оперативно реагирует на жалобы и просьбы удалить нежелательный контент, связанный с терроризмом, педофилией, пиратством и так далее».

#аудит #социнженерия #вишинг
Вишинг стал самым результативным вектором атаки в социотехническом тестировании в 2020 году

🕵️‍♀️Пока эксперты рассуждают, кто из сотрудников наиболее уязвим для фишинга, Департамент аудита и консалтинга Group-IB  поделился сводной статистикой по всем социотехническим тестированиям, которые команда провела в 2020 "ковидном" году. Результаты оказались весьма впечатляющими.

☝️Если при фишинговой рассылке письма с исполняемым вложением приносят атакующим результат в 15% случаев, а ссылки на поддельный ресурс в письмах лишь в 8% , самым результативными стали телефонные звонки (!), на которые сотрудники попадаются в 37% случаев.

📱И это неслучайно.  Прошлый год отметился настоящим бумом вишинга — телефонного мошенничества. Наряду с обзвонами якобы от имени службы безопасности банков о подозрительном переводе, жулики использовали легенды с предложением медицинских услуг, компенсаций за период пандемии, получения кредитов на выгодных условиях и тд.

🎯Успех вишинга в социотехническом тестировании можно объясняется просто:

📌 Предварительный сбор подробной информации о сотрудниках (номер телефона, добавочный номер, ник в Telegram, отдел, должность, дата рождения) и компании (имена руководителей, названия внутренних систем) позволяет атакующим заранее прописать сценарий разговора, проработать вопросы, которые надо задать. Есть возможность подготовить пути отхода, если собеседник начнет что-то подозревать.
📌В разговоре используется информация, которая указывает на осведомленность эксперта о внутренних процессах компании; отсылки на распоряжения, якобы полученные от начальников структурных подразделений компании.
📌Атакующий демонстрирует эмоциональную заинтересованность и старается помочь собеседнику, чтобы притупить его бдительность.
📌Внезапность звонка, когда человек может не понять, кто звонит, и возможность подмены номера позволяют увеличить доверие со стороны сотрудника и получить желаемое.

🖥Его говорить о почтовых рассылках, то 39% сотрудников, получивших фишинговое письмо, скачивают документ, 37% запускают вложение из него, а 24% - вступают в переписку с атакующими. Если сравнивать результативность рассылки фишинговых писем со ссылками на поддельный ресурс и писем с исполняемым вложением, то лидирует первый вид. Один из ключевых факторов успеха в том, что рядовой сотрудник зачастую не разбирается в доменах, поддоменах и пр. Как следствие, он не видит разницы между portal-domain.ru и portal.domain.ru. Слова и порядок их употребления совпадают и там, и там, а вот символы можно пропустить по невнимательности или в спешке. В свою очередь, рассылка фишинговых писем с исполняемым вложением предполагает большую вовлеченность со стороны сотрудников, поэтому данный формат тестирования показывает наименьшую результативность. Все подробности - тут👈

#ransomware
Программы-вымогатели в 2020 году: тактика, методы и алгоритмы
⚔️В 2020 году подавляющее большинство преступных групп переключилось на работу с шифровальщиками — с  их помощью можно заработать не меньше, чем в случае успешной атаки на банк, а техническое исполнение — значительно проще. Суммарный ущерб от атак вымогателей в мире, по данным отчета Hi-Tech Crime Trends 2020/2021, по минимальным оценкам составил $1 млрд. В этом видео для The Standoff Олег Скулкин, ведущий специалист Лаборатории компьютерной криминалистики Group-IB, подробно рассказывает о тактиках, методах и процедурах, которые использовали операторы программ-шифровальщиков в прошлом году и, наверняка, что-то будут использовать в этом. Must seen!