Кардеры-каннибалы: Group-IB выявила крупнейшие сети фейкшопов. Часть 1
Каждый пользователь интернета регулярно сталкивается с фишинговыми сайтами. И киберпреступники — не исключение. Аналитикам Group-IB Threat Intelligence удалось выявить несколько крупных групп мошенников, которые зарабатывают деньги на начинающих неопытных кардерах, создавая и распространяя...
Очень темные дела: BlackMatter и его жертвы
Сегодня преступная группа BlackMatter объявила о закрытии своей партнерской программы из-за "давления со стороны властей". Однако, это не значит, что операторы и их партнеры прекратят атаки. Скорее всего, они присоединятся к другим программам RaaS или, как это случалось ранее, после ребрендинга...
Свидание, которого не было: как работает мошенническая схема Fake Date
Group-IB обнаружила более 700 доменов фейковых сайтов театров, стендап-шоу, ресторанов, кинотеатров, которые мошенники используют для кражи денег под видом приглашения на свидание. За последние три года схему Fake Date (фальшивое свидание — с англ.) взяли на вооружение два десятка преступных групп...
Искусство кибервойны: как китайские группы TaskMasters и TA428 атакуют Россию
В середине мая 2021 года эксперты из SOLAR JSOC вместе с Национальным координационным центром по компьютерным инцидентам (НКЦКИ) выпустили отчет о серии целенаправленных атак, выявленных в 2020 году. Согласно исследованию, главной целью атакующих в России были федеральные органы исполнительной...
Живее всех живых: анализируем первый сэмпл нового шифровальщика BlackMatter
Лето 2021 года выдалось жарким не только из-за погоды, но и новостей из мира Ransomware. В конце мая группа DoppelPaymer произвела, пользуясь маркетинговым термином, "ребрендинг", переименовав свои новые программы-вымогатели в Grief (Pay OR Grief). А в июне-июле группы DarkSide и REvil друг за...
Вскрытие покажет: анализируем драйвер Windows x64, защищенный VMProtect
Анализ вредоносных программ, защищающих себя от анализа, — это всегда дополнительные трудности для вирусного аналитика. Точнее, постоянная борьба. Злоумышленники постоянно придумывают и дорабатывают свои методы обфускации или используют готовые продвинутые решения, которые были созданы для защиты...
К вам ползет Snake: разбираем новый кейлоггер
В конце прошлого года в руки аналитикам CERT-GIB попал любопытный образец ВПО — Snake Keylogger. Хотя справедливости ради заметим, что изучаемый объект являлся скорее стилером, так как KeyLogger — лишь часть его функционала, отвечающего за логгирование нажатий клавиш на клавиатуре. "Пойман" был...
Cassandra: криптор, который любит держаться в тени
Ни один атакующий не хочет, чтобы его инструменты обнаружили и раскрыли раньше времени. Поэтому, как правило, в чистом виде никто вредоносные программы не распространяет. Например, пользователю прилетело фишинговое письмо от имени известной транспортной компании и просят проверить документы во...
Билет в никуда: Group-IB зафиксировала рост мошеннических ресурсов по продаже железнодорожных и авиабилетов
Накануне майских праздников от мошенников нет покоя ни на земле, ни в воздухе. Ну, и в Интернете само-собой. После того, как Владимир Путин в конце апреля объявил выходными дни с 1 по 10 мая CERT-GIB (Центр реагирования на инциденты кибербезопасности Group-IB) зафиксировал всплеск мошенничества в...
Бег по граблям: 10 «уязвимостей» компьютерного криминалиста
Не кажется ли вам странным, что на фоне глобальной цифровизации, развития аппаратных и программных решений, пик популярности форензики как науки уже прошел, а интерес к ней угасает с каждым днем? Старейшие производители и поставщики решений для криминалистических исследований такие, как Guidance...
Group-IB обнаружила фишинг-киты, нацеленные на 260 брендов
Команда CERT-GIB (Центр мониторинга и реагирования на инциденты информационной безопасности Group-IB) проанализировала инструменты для создания фишинговых страниц, так называемые, фишинг-киты, и выяснила, что в 2020-м году с их помощью фишинговые сайты чаще всего создавались под различные...
Охота на «Мамонта»: подробное исследование мошеннической схемы с фейковыми курьерскими сервисами
Поводом к началу этой работы послужил, можно так сказать, энтомологический интерес к активности мошенников, работающих по новой схеме с фейковой курьерской доставкой товаров, заказанных через интернет. Первое массовое использование в России схемы «Курьер», или «Мамонт» («мамонтом» на сленге...
Мастера перевоплощений: охотимся на буткиты
Прогосударственые хакерские группы уже давно и успешно используют буткиты — специальный вредоносный код для BIOS/UEFI, который может очень долго оставаться незамеченным, контролировать все процессы и успешно пережить как переустановку ОС, так и смену жесткого диска. Благодаря тому, что подобные...
Киберугроза №1: рейтинг самых активных и жадных вымогателей
Шифровальщики фактически стали киберугрозой №1 как для бизнеса, так и для государственных органов: число успешных атак в прошлом году выросло более чем на 150% к 2019 году, а средний размер суммы выкупа увеличился более чем в два раза и составил в 2020 году $170 000, говорится в свежем отчете...
Анастасия Тихонова: «Нам крупно повезло, что атаки APT пока еще не привели к массовым человеческим жертвам»
У нас новый проект: начиная с этого поста мы будем знакомить вас с профессиями и ведущими специалистами Group-IB, расскажем об их работе, исследованиях и кейсах, о том, как и где можно пройти обучение и, конечно, дадим ссылку на актуальные вакансии. Первый гость — Анастасия Тихонова, ее интервью мы...
Kremlin RATs: история одной мистификации
Этим постом мы начинаем двухсерийный технодетектив, в котором встретились "священная триада" доменов: putin, kremlin, crimea и "крысы" — программы удаленного доступа (RAT), а также шпион AgentTesla. Началась история с того, что в конце мая 2020 года сетевой граф Group-IB, наша автоматизированная...
Особенности киберохоты: как Hunter Stealer пытался угнать Telegram-канал «База»
С ноября 2020 года участились случаи похищения аккаунтов у популярных Telegram-каналов. Недавно эксперты CERT-GIB установили тип вредоносной программы, с помощью которой хакеры пытались угнать учетку у Никиты Могутина, сооснователя популярного Telegram-канала «База» (320 тысяч подписчиков). В той...
Старый конь борозды не испортит: как стилер Pony крадет данные и где их потом искать
Если помните, недавно у нас выходила статья про молодой, но уже подающий надежды data stealer Loki. Тогда мы подробно рассмотрели этот экземпляр (версия 1.8), получили представление о работе бота и освоили инструмент, облегчающий реагирование на события, связанные с этим ВПО. Для более полного...