#FHP #PreventiveProxy
Технология Group-IB для защиты от ботов названа одним из главных российских изобретений 2020 года

🏆Роспатент включил в топ-10 главных российских изобретений 2020 года инновационную разработку Group-IB для защиты от Интернет-ботов — Preventive Proxy. Этот программный продукт входит в комплексную систему для борьбы с онлайн-мошенничеством Fraud Hunting Platform (FHP). Она была выведена на рынок в прошлом году и уже помогла пяти крупным российским банкам предотвратить ущерб на сумму 320 млн руб всего за 6 месяцев эксплуатации.

🔥«Включение инновационной разработки резидента «Сколково» в топ главных российских изобретений 2020 года, наряду с вакциной от туберкулеза и новым способом получения солнечной энергии, — это очередное признание компании Group-IB как одного из ведущих мировых игроков в области кибербезопасности, — отметил Аркадий Дворкович,
председатель Фонда «Сколково». — Тот факт, что Preventive Proxy и Fraud Hunting Platform уже защищают 160 миллионов пользователей, свидетельствует о широком потенциале их применения, прежде всего, в интересах рядовых пользователей интернета, а также банковского сообщества. Об этом же говорит присвоение международным агентством Gartner компании Group-IB статуса надежного поставщика в категории «Решения по выявлению онлайн-мошенничества».

📌Напомним, что в Group-IB действует программа поддержки изобретателей. Именно она позволяет делать ставку на инновационные разработки, патентуемые по всему миру: в копилке у аналитиков и инженеров компании множество патентов на изобретения в России, США, Сингапуре, Нидерландах и других странах.

#Аудит
Пентесты в Group-IB. Как работают белые хакеры и как стать одним из них

🕵️‍♀️Не пропустите: в спецпроекте «Хакера» аудиторы из Group-IB подробно рассказывают о пен­тестах и Bug Bounty, о том, где прак­тиковать­ся, чему учить­ся и как при этом не нарушать закон.  Для затравки — несколько бодрых цитат от ребят в белых шляпах:

📌«Нас регуляр­но пуга­ют тем, что ско­ро пен­тестить будут ней­рон­ные сети, а всех пен­тесте­ров раз­жалу­ют в двор­ники, но я думаю, что это бред. Прос­то рынок пен­теста сузит­ся и вырас­тет про­фес­сиональ­но — до тех спе­циалис­тов, которые могут рас­копать на про­екте дей­стви­тель­но нес­тандар­тные вещи».

📌«…ковырять перимет­ры ста­новит­ся все слож­нее. Весь мир активно перехо­дит в веб, сни­жая количес­тво самос­тоятель­но обслу­жива­емых сер­висов, веро­ятность про­боя некор­рек­тно нас­тро­енных он‑прем‑решений сни­жает­ся вмес­те с их количес­твом, и поэто­му на перед­ний план выш­ли зна­ния веб‑тех­нологий и облачных решений».

📌«Пен­тестер, который бод­ро ска­ниру­ет инет и видит какие‑то пор­ты, но который при этом не может уве­рен­но объ­яснить, где меня­ется MAC-адрес, а где IP при дви­жении пакетов из его домаш­ней сети в инет, вызыва­ет некото­рое недо­уме­ние — как он собира­ется стро­ить тун­нели при зах­вате дос­тупа? Каж­дый вто­рой уве­рен­ный поль­зователь Nmap пута­ется с номером пор­та, который нуж­но открыть на фай­рво­ле, что­бы зарабо­тала коман­да ping».

📌«Конеч­но, ребята, для которых пен­тест — это запуск ска­нера с парой клю­чей, дол­жны будут подыс­кать себе новое занятие, но не думаю, что нор­маль­ным спе­циалис­там что‑то угро­жает. По край­ней мере, не так ско­ро».

📌«Сто­ит быть акку­рат­нее с людь­ми, которые пред­лага­ют попен­тестить их ком­панию за день­ги. Далеко не всег­да такие люди дей­стви­тель­но работа­ют в ком­пании-«цели»…. Глав­ное — не искать опыт там, где это чре­вато наруше­нием законов».

☝️Кстати, Group-IB наращи­вает коман­ду и находит­ся в активном поис­ке све­жих пен­тестер­ских сил. Ответы на вопросы от команды аудита (экспресс-тест —  в самом конце спецпроекта) шли на ящик fromxaker@group-ib.comfromxaker@group-ib.com. А если ты дав­но не джун — не стес­няй­ся на тот же ящик отправить CV.

Продолжается регистрация на онлайн-интенсив Group-IB «Digital Forensics Analyst».

☝️ После окончания курса вы сможете собирать необходимую информацию об инциденте и использовать эти данные для исследования инцидентов в будущем, а также углубить свои знания и улучшить навыки проведения криминалистических исследований зараженных хостов. Преподаватели курса — практикующие эксперты Group-IB, сертифицированные GCFA, EnCE, MCFE.

🎯Ключевые темы:
📌Технологии, инструменты, цели злоумышленников;
📌Основы компьютерной криминалистики и первичного реагирования на инциденты (использование моделей угроз, оценка критичности инцидента, основные этапы реагирования на инциденты);
📌Сетевая криминалистика (поиск и извлечение криминалистических артефактов из сетевого трафика, восстановление хронологии инцидента на основании артефактов, практика исследования дампа сетевого трафика);
📌 Исследование оперативной памяти (создание дампов оперативной памяти и их анализ, исследование файлов гибернации и подкачки, алгоритм выявления аномалий и вредоносной активности в оперативной памяти);
📌 Исследование хоста (создание криминалистических копий, исследование артефактов ОС Windows, восстановление хронологии заражения);
📌 Практические задания на основе реальных кейсов (исследование дампа оперативной памяти, образа диска, восстановление техник и тактик атакующих).

🕵️‍♀️Для кого этот курс?
📍Технические специалисты с опытом в ИБ
📍Практикующие ИТ-специалисты без опыта в ИБ
📍Руководители ИБ- и ИТ-департаментов

✅По итогам обучения — сертификат Group-IB о прохождении курса. Регистрация:  https://bit.ly/3jTUY6D

#Расследования #Колонка
Брокер или мошенник: как работают схемы с фейковыми инвестициями в акции и криптовалюты

🙈«Cамое время вложиться в крипту!» — пишет столичному предпринимателю в Instagram симпатичная девушка. Случайное романтическое online-знакомство из легкого флирта перетекает в серьезный деловой разговор. Девушка уверяет, что уже три года успешно инвестирует в биткоины и готова помочь своему новому знакомому поправить пошатнувшееся за время пандемии финансовое положение: у нее как раз есть на примете «проверенный брокер». Судя по фото, жизнь у незнакомки действительно бьет ключом — в ее аккаунте и сторис из путешествий, и фото из дорогих ресторанов. Брокер сразу потребовал взнос в размере 100 000 рублей, а потом присылал запросы на новые переводы —  жертва «вложила» почти 1 млн рублей. После этого симпатичная незнакомка и брокер исчезают, сайт брокерской фирмы перестает работать, а телефоны — выключены.

🕵️По следам этого кейса специалисты Group-IB провели расследование и выяснили, что сеть ресурсов псевдоброкеров насчитывала более 50 сайтов, маскирующихся под легальные инвестиционные компании. Для общения с жертвами мошенники использовали популярные соцсети, мессенджеры и десятки фейковых аккаунтов.  Следствие по делу еще не закончено, но уже понятно, что незадачливый любитель знакомств в соцсетях — не единственная жертва мошенников, ущерб  в каждом кейсе в среднем составляет десятки тысяч долларов.

💰Недавно в Group-IB обратилась сотрудница нефтегазовой компании из северного поселка в Республике Коми, которая хотела приумножить свои сбережения. Псевдоброкеры, с которыми она столкнулась на форуме об инвестициях, убедили ее вложиться в акции компаний и украли около 3 млн рублей. Причем большую часть денег женщина взяла в кредит в банке. «Каждый мой шаг «брокеры» контролировали по телефону — как найти деньги, куда вложить, — рассказала пострадавшая. — У меня были, конечно, подозрения, меня пытались отговорить, но желание быстро разбогатеть просто вскружило голову».  

✅О том, как мошенники отбирают деньги, пользуясь доверчивостью россиян, рассказывает Андрей Колмаков,  руководитель департамента расследований киберпреступлений Group-IB .

#пароли #qwerty
Код прост: названы самые популярные пароли 2020 года
⚙️ Пароли, попавшие в топ-10 самых популярных в 2020 году, чаще всего состояли из простой последовательности цифр (например, 12345, 123456789, 123456 или 000000), а четвертое место — у  «password», пишут сегодня «Известия».  В топ наиболее распространенных паролей на латинице впервые вошли asdasd и asdfghjkl, а на кириллице — «марина». Покинули топ  вариации паролей на базе сочетания букв qwerty, занимавшие почти половину мест в рейтинге прошлых лет.
🛠Злоумышленники подбирают пароли типа pictire1 менее чем за 10 секунд, используя специальные программы или словари, предупреждает замруководителя лаборатории компьютерной криминалистики Group-IB по обучению Анастасия Баринова. По ее словам, порядка 70% пользователей имеют по пять схожих паролей для разных устройств, и таким образом рискуют потерять доступ к интернет-банку, соцсетям, почте: атакующие смогут украсть деньги или использовать полученные данные для шантажа или вымогательства.

#блог
Хеш четкий и хеш нечеткий
📑На самом деле вирусописатели редко заморачиваются с затратной по времени разработкой новых «качественных» вирусов: в большинстве случаев существующая база или ядро вредоноса повторно используется для создания новой разновидности малвари. Код может быть собран заново с помощью другого компилятора, из него могут быть удалены или, наоборот, добавлены новые функции, также обновляются некоторые библиотеки, меняется распределение кода внутри файла и так далее.
🙈Смысл таких преобразований — придать хорошо знакомой антивирусу вредоносной программе новый вид, чтобы она какое-то время осталась необнаруженной. Тем не менее существуют способы детектирования такого рода переупаковок и модификаций. Эти техники обнаружения зачастую используются для анализа большого массива данных и поиска в нем общих элементов. Ведущий пресейл-менеджер Group-IB Борис Осепов и ИБтивист Александр Мессерле рассказали, как работают продвинутые алгоритмы хеширования (источник - «Хакер.ру»).

#шантаж #DRP
Мошенники научились ботать
🙌Интернет-мошенники активно используют «утекшие» пароли россиян, которые собирают специальные боты в Telegram, для шантажа.  Под угрозой взлома аккаунтов жертвы или публикации приватной информации жулики вымогают деньги, сообщает   «Коммерсант».
📌Так, например, одним из источников информации для мошенников стал MailSearchBot, который  создавался для проверки «утекших» паролей. Сервис за плату предлагает пользователю найти по номеру телефона свои логины и пароли, которые оказались в открытом доступе. Несмотря на то что в бесплатной версии бота часть пароля скрыта, мошенники используют эти данные для шантажа пользователей — отправляя им угрозы по электронной почте.
👉Если вас шантажируют раскрытием личных данных, не стоит верить, что после перевода мошенникам запрошенных денег они прекратят вымогательство, предупреждает заместитель руководителя департамента защиты от цифровых рисков Group-IB Антон Долгалев.                                                                                                                                                                                                                                                  
🎯Для снижения риска утечек личных данных эксперты DRP Group-IB рекомендуют не пренебрегать соблюдению цифровой гигиены:

📌Используйте только сложные пароли для своих учетных записей и регулярно их меняйте;
📌Настраивайте дополнительные меры безопасности: двухфакторную аутентификацию, вход только из проверенных источников и тд;
📌 Не используйте неофициальные программы и приложения;
📌 Если вы перешли на сайт, где вас просят авторизоваться, проверьте название доменного имени, так как чаще всего мошенники регистрируют созвучные брендам доменные имена.
📌 Не открывайте сомнительные электронные письма, в них могут быть вложены вредоносные файлы или ссылки на мошеннические сайты;
📌Не раскрывайте личные данные незнакомым людям в мессенджерах и социальных сетях;
📌 Не подключайтесь к публичным Wi-Fi сетям во избежание заражения вредоносным программным обеспечением вашего устройства
📌 Не публикуйте информацию, которую потом можно будет использовать против вас. #StayCyberSafe

#мошенничество #DRP
Обналичные кабинеты

⚔️В Google Play обнаружено несколько вредоносных программ, которые распространялись под видом приложений с информацией о социальных выплатах, льготах, возврате НДС и других денежных компенсациях, предупреждает  «Российская газета».  Установленные на смартфон программы демонстрировали уведомления, в которых  говорилось о доступных выплатах и компенсациях, или сразу подгружали фишинговые сайты. Для получения "денег" жертве предлагали оплатить оформление документов, госпошлину или комиссию за перевод на банковский счет, но в итоге похищали деньги или персональные данные.
🎯"Специалисты уже не первый год фиксируют мошеннические e-mail рассылки, сайты, группы и аккаунты в социальных сетях, эксплуатирующие тему денежных компенсаций, - отмечает Яков Кравцов, заместитель руководителя отдела специальных проектов Group-IB. - Также были зафиксированы мобильные приложения, действующие по такой же схеме, под видом информирования и оказания услуг от имени государственных учреждений. Владельцы Аndroid-устройств, попавших в такую ловушку, рискуют не только потерять свои денежные средства, но и заразить устройство вредоносным программным обеспечением".

#Спецпроект #Хабр
Профессии Group-IB: Threat Intelligence & Attribution Analyst

#Спецпроект #Хабр
Профессии Group-IB: Threat Intelligence & Attribution Analyst

🕵️‍♀️Кто такие прогосударственные хакеры? Чем закончится «гонка кибервооружений»? Сколько в мире APT? Как вербуют в хакгруппы в Иране и что общего у северокорейских хакеров и компьютерной игры «Diablo»? Почему даже самые очень умные киберпреступники совершают ошибки ? И как, наконец, технологии могут предотвратить киберпреступления? На все эти бесконечные вопросы нужны ответы.

👉Начиная с этого поста на Хабре мы будем знакомить вас с профессиями и ведущими специалистами Group-IB, расскажем об их работе, исследованиях и кейсах, о том, как и где можно пройти обучение и, конечно, дадим ссылку на актуальные вакансии. Первый гость — Анастасия Тихонова, руководитель отдела исследования сложных киберугроз Департамента Threat Intelligence Group-IB, ее интервью мы даем прямой речью и, что называется, без купюр. Бонусом — список книг для прокачки в Threat Intelligence и ссылка на курс по киберразведке. Must read!

#Anti_Piracy
Сейв в Премьер-лиге: Group-IB предотвратила ущерб на 40 млн рублей для правообладателя трансляций футбольных матчей

🎯Group-IB совместно с Okko Спорт, официальным вещателем Английской Премьер-лиги (АПЛ) в России, выявила и заблокировала более 16 500 пиратских ссылок на нелегальные онлайн-трансляции и архивные видеозаписи АПЛ. Тем самым компания предотвратила для правообладателя трансляций — мультимедийного сервиса Оkkо, входящего в Rambler Group, ущерб на сумму около 42 млн рублей.  

👉В последние годы онлайн-трансляции футбольных и хоккейных матчей, поединков по смешанным единоборствам и соревнований по легкой атлетике завоевали в России огромную популярность. Развитие рынка легального потокового видео вызвало повышенный интерес со стороны пиратов, специализирующихся на организации нелегальных ретрансляций. В 2019 году выручка одного среднестатистического пирата-стримера, по оценкам Group-IB, составляла $111 000 в год. Однако пандемия внесла свои коррективы: из-за отмены матчей и переноса соревнований доходы пиратов-стримеров в 2020 году по сравнению с 2019 годом упали на 47,5% до суммы в $ 40 000. Тем не менее, уже к концу 2021 года эксперты Group-IB прогнозируют увеличение количества спортивных трансляций до «докоронавирусных» показателей, и, следовательно, выручка пиратов будет расти.

🙌Олег Манжа, генеральный директор Okko Спорт:  "Благодаря сотрудничеству с Group-IB мы смогли заблокировать огромное количество ссылок на нелегальные трансляции. Проблема с пиратством для нас носит не только коммерческий, но и эстетический характер. В Okko Спорт можно смотреть Английскую Премьер-лигу в высочайшем качестве и сразу на нескольких устройствах с возможностью выбрать аудиодорожку, в то время как пираты предлагают низкое качество, а ресурсы, на которых размещаются видео, часто представляют угрозу для безопасности пользователей".

👉Кстати, самыми популярными у пиратов оказались матчи АПЛ 17 тура  сезона 2019-2020, где «Манчестер Юнайтед» вничью сыграл с «Эвертоном» (1:1), а «Арсенал» проиграл «Манчестер Сити» (0:3). Также высокий интерес вызвал 19 тур нынешнего сезона с победами «Манчестер Сити» над «Кристал Пэлас» (4:0) и «Арсенала» над «Ньюкаслом» (3:0).
☝️«Приобретая исключительные права на спортивные трансляции, видеосервисы стараются привнести в полученный потоковый видеоконтент свою добавленную стоимость — комментарии, статистику и аналитику. Пираты фактически обесценивают всю эту работу и сами зарабатывают миллионы на организации нелегальных ретрансляций»,  —  замечает Андрей Бусаргин, заместитель генерального директора Group-IB по направлению Digital Risk Protection.  Классического мониторинга уже недостаточно — необходимо выявлять и блокировать инфраструктуру преступных групп, используя автоматизированную систему для  поиска и устранения цифровых рисков на основе искусственного интеллекта.

#ransomware
Киберугроза №1: количество атак вымогателей выросло за год более чем на 150%

📑Group-IB представила новый отчет «Программы-вымогатели 2020-2021 гг»  — масштабное исследование одной из самых актуальных киберугроз в период пандемии COVID-19. Несколько важных цифр:
📌В прошлом году количество атак шифровальщиков выросло более чем на 150% по сравнению с предыдущим годом.
📌Сумма выкупа увеличилась почти вдвое — до $170 000. Самыми жадными вымогателями оказались группы Maze, DoppelPaymer и RagnarLocker — сумму выкупа, которые они требовали от жертвы, составляла в среднем от $1 000 000 до $2 000 000.
📌В первую очередь в зоне риска оказались крупные корпоративные сети — целенаправленные атаки вымогателей ( The Big Game Hunting) парализовали в 2020 году работу таких гигантов как Garmin, Canon, Campari, Capcom и Foxconn. Простой от одной атаки составлял в среднем 18 дней.
📌Основными целями хакеров стали корпоративные сети крупных компаний из Северной Америки, Европы, Латинской Америки, Азиатско-Тихоокеанского региона. Первые атаки эксперты фиксировали и в России: прогнозируется, что в 2021 году волна шифровальщиков затронет российский бизнес и выйдет в СНГ.
🕵️‍♀️Олег Скулкин, ведущий специалист Лаборатории компьютерной криминалистики Group-IB: "За пандемию программы-вымогатели стали главной киберугрозой для всего мира, в том числе для России. В прошлом году мы видели многочисленные атаки OldGremline на российские предприятия, IT-компании и финансовые учреждения. В этом году эксперты уже наблюдают активность с традиционными группами типа RTM, также переключившихся на использование шифровальщиков".
🎯Учитывая, что большинство атак шифровальщиков управляются человеком — «вручную», руководителям технических команд, специалистам по информационной безопасности критически важно понимать, какие тактики, техники и процедуры (TTP) используют злоумышленники.
✅Полный технический анализ TTPs атакующих, сопоставленных в соответствии с MITRE ATT&CK®, публичной базой знаний, в которой собраны тактики и техники целевых атак, а также рекомендации по поиску и обнаружению угроз, собранные командой Group-IB Digital Forensics and Incident Response (DFIR), уже сейчас доступны в новом отчете, скачайте его  тут👈

#ВПО #CERT
Вирусы капают с веток
🛠В Сети набирает обороты опасная схема распространения вредоносных программ: преступники размещают ссылки на зараженные архивы в обсуждениях на форумах и продвигают их через поисковую выдачу. Если раньше вирусы на форумах распространялись под видом расширений для популярных игр или приложений, то сейчас злоумышленники выдают их почти на любой запрос в сети. Об этом сегодня предупреждает «Коммерсант».
📌В российском сегменте интернета можно столкнуться с описанной схемой заражения, если, например, искать в сети информацию о популярных ресторанах Иркутска или электронные книги. По запросу «скачать реферат» пользователь также может получить ссылку на зараженный архив, отмечает руководитель CERT-GIB Александр Калинин. Новая схема скомпилирована на основе уже известных элементов, но отличается тем, что злоумышленники сильно расширили тематику запросов и стали использовать приемы поисковой оптимизации.

#Подкасты #Не_верю
Cвайп на 50 тыс рублей: как обманывают на сайтах знакомств

💐Букетно-конфетные праздники прошли, а угрозы в сервисах для знакомств остались — кражи данных банковских карт, свидания в липовых ресторанах и походы в фейковые кинотеатры. Почему приложения не справляются с мошенниками, а государство не может их наказать? Об этом ведущим подкаста «Не верю!» рассказал Антон Долгалев, заместитель руководителя департамента защиты от цифровых рисков Group-IB.
📌Математик подсчитал, сколько в среднем нужно свайпов в Tinder, чтобы удачно сходить на свидание.
📌Девушка с сайта знакомств через несколько месяцев общения предложила выгодно инвестировать в криптовалюту. Парень вложил все свои деньги, и…
📌Богатые тоже плачут: как злоумышленники из сервиса для знакомств угнали аккаунт у известной селебрити.
📌Билеты в несуществующий кинотеатр, бронирование столика в фейковом кафе, поддельные рестораны и гигантские счета в кальянных: самые популярные мошеннические схемы.
📌Что делать, если столкнулись с вымогательством. Психология мошенника: почему не стоит платить злоумышленникам, если вас шантажируют.
👍Слушаем, делимся в соцсетях и #StayCyberSafe

#VPN #StayCyberSafe
От VPNта: после замедления Twitter возможны новые утечки данных россиян

🔦Из-за замедления скорости работы Twitter в России может вырасти популярность VPN-сервисов, которые помогают восстановить полноценный доступ к соцсети, пишут сегодня «Известия». Все бы хорошо, но бесплатные VPN-сервисы, собирая чувствительную информацию о пользователях, не обеспечивают должный уровень ее защиты. А бывает, что и умышленно похищают ее.
📌«Повышенный спрос на VPN-сервисы довольно часто приводит к утечке данных пользователей или заражениям вредоносными программами, — считает Анастасия Баринова, замруководителя Лаборатории компьютерной криминалистики Group-IB по обучению.—- При использовании VPN-сервиса, ваши данные доступны владельцу этого сервиса. Например, в июле 2020 года в открытом доступе давно оказалась база данных более 20 миллионов пользователей бесплатных VPN-решений. Использование бесплатных VPN несет и другие повышенные риски. Если такой сервер создали и контролируют киберпреступники, то весь трафик пользователей они могут перехватывать, перенаправлять на левые фишинговые сайты, собирать незашифрованные данные — и так могут утечь пароли, переписка в почте. Кроме того, были случаи, когда вредоносные программы маскировались под VPN-приложение, например, программа-шпион мимикрировала под VPN от известного российского интегратора».  Group-IB рекомендует использовать только проверенные платные VPN-серверы или свой собственный.