РУССКИЙ
РУССКИЙ
ENGLISH
С самого начала 2018 год не сулил ничего хорошего: диверсия на зимних Олимпийских играх в Пхёнчхане, перекрестный шпионаж между кибердержавами, Lazarus, щелкающая криптобиржи, как орехи, непотопляемая группа Cobalt даже после ареста одного из своих лидеров продолжившая атаковать банки. И если в 2017 году главные угрозы были связаны с эпидемиями вирусов-шифровальщиков — WannaCry, NotPetya, BadRabbit, то 2018 год продемонстрировал новые опасности. Например, «бреши» аппаратного обеспечения. Такие уязвимости очень сложно выявить и невозможно быстро и эффективно устранить с помощью программных «заплаток». Еще одна «головная боль» — рост активности проправительственных хакеров, проникающих на объекты критической инфраструктуры для саботажа или шпионажа. Большинство атак были направлены на энергетический сектор, а самыми активными игроками в "поле" оказались хакерские группы Китая, Северной Кореи и Ирана.

Киберпреступники, разумеется, не забывали и о своем кармане. В 2018 году Group-IB раскрыла новую хакерскую группу, атакующую банки — Silence. Кроме нее самыми опасными для финансового сектора группами являются Cobalt, MoneyTaker, Lazarus. Каждый месяц в России успешно атаковали 1–2 банка, средний ущерб от атаки составил 132 млн руб. ($2 млн). Однако кража — не самое страшное, что может случиться с финансовой организацией. Банки оказались в числе мишеней для прогосударственных хакерских групп, специализирующихся на диверсиях и саботаже. Одна такая кибератака в случае успеха может привести к ликвидации самой кредитно-финансовой организации и стать одной из причин коллапса финансовой системы целого государства.
Январь
Крупнейшая кража с криптобиржи, перекрестный шпионаж и экстрадиция короля спамеров
У японской криптобиржи Coincheck украли почти $533 млн. Подозревают хакеров из Северной Кореи.
Рекордная сумма в $533 млн (в цифровой валюте NEM) была похищена в результате атаки на японскую криптобиржу Coincheck. Пострадали порядка 260 000 пользователей. Национальное разведывательное агентство Южной Кореи утверждает, что за атакой, вероятнее всего, стоят северокорейские хакеры. Чуть позже Group-IB оценит ущерб от целевых атак на криптобиржи в 2017 году и первые 9 месяцев 2018 года в $882 млн. За этот период были взломаны, как минимум, 14 криптобирж и 5 из них атакованы северокорейской хакерской группой Lazarus, в том числе, японская Coincheck.
Аппаратные уязвимости Meltdown и Spectre
С середины 2017 года велось закрытое исследование аппаратных уязвимостей, которые затрагивают большинство микропроцессоров Intel, AMD и чипы, использующие процессорные ядра ARM. В январе 2018 года информация об этих уязвимостях была опубликована под названиями Meltdown (CVE-2017-5754) и Spectre (CVE-2017-5753 и CVE-2017-5715). Из-за опасности, которую представляют эти сведения, они вызвали огромный резонанс. Meltdown позволяет злоумышленникам читать не только память ядра, но и всю физическую память целевых машин, а следовательно и все секретные данные программ и операционной системы. Spectre нарушает изоляцию между различными приложениями, позволяя вредоносной программе заставить любой процесс выдать содержимое собственной памяти.
Группа Fancy Bear прошлась по ВПК США
Группировка Fancy Bear (APT28) атаковала ведущие военно-промышленные компании США: Lockheed Martin, Raytheon, Boeing, Airbus и General Atomics. Кампания продолжалась с марта 2015 года по май 2016 года, но известно о ней стало только в январе. Жертвами фишинговых атак стали как минимум 87 человек, занимающихся, например, разработкой беспилотников, ракет и истребителей. Fancy Bear действует как минимум с 2004 года. Хакерам приписывают атаки на французский телеканал TV5 Monde, Национальный комитет Демократической партии США, парламент Германии, допинговое агентство WADA. Главная цель Fancy Bear – кража конфиденциальной информации у высокопоставленных должностных лиц. В своих атаках Fancy Bear используют фишинговые письма с вредоносными вложениями или ссылками, перенаправляющими пользователей на сайт с набором эксплоитов.
Вирус-шифровальщик SamSam терроризирует США
В США вирус-шифровальщик SamSam, атакующий медицинские учреждения, вновь успешно поразил несколько объектов. Началось все с атаки на больницу Hancock Health (Индиана) — тогда руководство медучреждения пошло на встречу хакерам и выплатило $55 000. И абсолютно напрасно. Это лишь раззадорило киберпреступников, выбравших в качестве следующих целей Adams Memorial Hospital, в Индиане, муниципалитет в Фармингтоне, Нью-Мексико, компанию Allscripts Professional EHR. Вирус шифровал данные и выдавал на экран сообщения с требованием выплатить 3 биткоина. Заражение происходило не через фишинговую рассылку, а через взломанные популярные веб-ресурсы. Подобным образом в России и на Украине в октябре 2017 года происходило заражение вирусом BadRabbit.
Центробанк России оценил ущерб от 11 успешных атак группы Сobalt на банки в 2017 год в 1 млрд руб.
Центробанк России оценил ущерб от 11 успешных атак группы Сobalt на банки в 2017 год в 1 млрд руб. В январе 2018 года Сobalt еще как минимум трижды атаковала российские финансовые учреждения. По оценкам Европола, Сobalt похитила около 1 млрд евро у 100 банков в 40 странах мира: России, Великобритании, Нидерландах, Испании, Румынии, Белоруссии, Польши, Эстонии, Болгарии, Грузии, Молдавии, Киргизии, Армении, Тайване и Малайзии.
Спамер Peter Severa летит на запад. В наручниках
Испания выдала США российского спамера Петра Левашова (Peter Severa), входящего в десятку самых опасных спамеров мира по версии Spamhaus. В США начался суд над ним.
Февраль
Кибердиверсия на Олимпиаде, крупная кража из индийского банка через SWIFT и успешный кейс Group-IB на Украине
Olympic Destroyer пытался сорвать Олимпиаду
Главное международное событие февраля — зимние Олимпийские игры в Пхёнчхане (Южная Корея) начались с масштабной кибератаки. Во время церемонии открытия 9 февраля вирус Olympic Destroyer атаковал компьютерные сети организаторов — это привело к проблемам с телетрансляцией, сбоям в работе сети Wi-Fi и сайта pyeongchang2018.com. Как выяснили эксперты, хакеры использовали Olympic Destroyer, штамм вредоносной программы, которая уничтожает файлы и выводит системы из строя. Вредоносная программа использует эксплойт EternalRomance NSA для распространения по протоколу SMB — такая же схема была зафиксирована при атаке вируса-шифровальщика в 2017 году. Исследователи разошлись во мнении, кто стоит за кибератаками. Одни эксперты обвиняли северокорейскую группу Lazarus, другие связали кибератаку с русскоязычной APT-группировкой Fancy Bear.
Группа Fancy Bear засветилась в Германии
Правительство Германии обвинило Fancy Bear в проникновении в сети ряда министерств Германии, в том числе в изолированную государственную IT-сеть. Вторжение было обнаружено в декабре 2017 года, эксперты считают, что кибершпионы находились внутри более года. Хакеров из группы Fancy Bear (APT28, Sofacy) подозревают в атаках на французский телеканал TV5 Monde, на Национальный комитет Демократической партии США, парламент Германии, допинговое агентство WADA. В последнее время, как замечают эксперты, Fancy Bear смещает вектор своих атак со стран НАТО и Украины на бывшие советские республики в Центральной Азии, на Ближнем и Дальнем Востоке.
Из индийского банка украли $1,8 млн.
Неизвестные киберпреступники вывели из индийского банка City Union Bank $1,8 млн. Проникнув в систему банка, хакеры совершили три несанкционированных перевода через систему SWIFT. Одна транзакция $500 000 на счет банка в Дубае была заблокирована, два других перевода ушли на счета банков в Турции и в Китае. City Union Bank совместно с МИДом пытается вернуть средств. Атаки с использованием SWIFT в прошлом году прокатились по всему миру. Они были зафиксированы в Эквадоре и Непале, а в конце 2017 года впервые в истории российской финансовой сферы группа Cobalt провела успешную целевую атаку на российский банк с использованием SWIFT.
SamSam добрался до Колорадо
Шифровальщик SamSam в феврале заразил более 2 000 компьютеров в Департаменте транспорта штата Колорадо (DOT). За возобновление работы злоумышленники требовали выкуп в биткоинах, однако DOT принял решение не платить выкуп и отключил все рабочие станции. В начале года SamSam атаковал в основном медицинские учреждения и муниципалитеты: больницу Hancock Health (Индиана), Adams Memorial Hospital, в Индиане, муниципалитет в Фармингтоне, Нью-Мексико, компанию Allscripts Professional EHR. Вирус шифровал данные и выдавал на экран сообщение с требованием выплатить 3 биткоина. Заражение происходило не через фишинговую рассылку, а через взломанные популярные веб-ресурсы. Подобным образом в России и на Украине в октябре 2017 года распространялся вирус BadRabbit.
Обнаружены новые типы атак на центральные процессоры
В феврале 2018 исследователи из NVIDIA и Принстонского университета опубликовали доклад, в котором описали новые типы атак, так же затрагивающие почти все современные центральные процессоры. Принцип атак, получивших название MeltdownPrime и SpectrePrime, схож с оригинальными, новшество заключается в том, что они нацелены на многоядерные чипы и используют механизм аннулирования линий кеша в современных протоколах когерентности кэш-памяти при передаче данных между ядрами. Как и в случае с Meltdown и Spectre, успешная атака позволяет получить доступ к закрытой для сторонних приложений информации вроде паролей. Код SpectrePrime, предлагаемый исследователями в качестве доказательства концепции, приводит к успеху атаки в 99,95% случаев исполнения на процессоре Intel (уровень успешности обычной атаки Spectre достигает 97,9%).
Group-IB довела до приговора дело организаторов DDoS-атак на Украине
Организаторы DDoS-атак на американские компании пойманы и осуждены на Украине при содействии Dating.com Group, Group-IB и Qrator Labs. Группа хакеров под руководством Инны Яценко блокировала американские серверы, используя DDoS-атаки, и вымогала деньги за их прекращение. Атаке подвергались интернет-магазины, сайты букмекерских фирм, лотерейных и игровых компаний. В частности, жертвами украинских мошенников стала американская компания Stafford Associates, специализирующаяся на предоставлении услуг по аренде мощностей дата- центров и хостинга, а также сервис онлайн-платежей PayOnline. Служба безопасности интернет-холдинга Dating.com Group обратилась к специалистам Group-IB за помощью в установлении личностей участников хакерской группы причастных к организации DDoS. Эксперты отдела расследований Group-IB проанализировали цифровые следы атаки и установили не только личности злоумышленников, но и цепочку других инцидентов, следы которых вели к тем же вымогателям. Ими оказались граждане Украины Гайк Гришкян и Инна Яценко. Оба признали свою вину, в начале 2018 года суд приговорил каждого к 5 годам лишения свободы (условно).
Ликвидировано сообщество кардеров Infraud Organization
Минюст США отчитался о ликвидации Infraud Organization, сетевого сообщества, 36 участников которого обвинялись в кражах данных банковских карт, финансовой информации, распространении вредоносных программ. Ущерб от их деятельности составил как минимум $530 миллионов. Задержаны 13 человек, в том числе граждане Украины Святослав Бонадренко ("Obnon," aka "Rector," aka "Helkern"), Алексей Клименко (Grandhost), а также россиянин Андрей Новак (Unicc, aka Faaxxx). Эксперты Group-IB считают, что речь идет не об организованной преступной группе, а о сетевом сообществе, которое было создано вокруг андеграундного форума Infraud.ws. У каждого из задержанных была своя роль в иерархии форума — "Администраторы", "Супермодератор", "Вендоры", "VIP Members". Судя по всему, участников Infraud смогли деанонимизировать и задержать после изъятия серверов, на которых хостился Infraud.ws. Сам форум прекратил работу 5 февраля. Оним из основных видов деятельности арестованных был кардинг. Большинство задержанных регулярно фигурировали на хакерских и кардерских площадках, управляли кардершопами, продавали аккаунты, учётки, ВПО и др. Например, россиянин Андрей Новак aka Unicc.at – известный на хакерских форумах кардер, его "активность" на форумах прослеживается с 2010-го года. Украинец Алексей Клименко aka Grandhost держал отказоустойчивый хостинг, тоже занимался кардингом и обеспечивал защиту собственных магазинов кардеров.
Март
Арест в Испании одного из лидеров Cobalt, атаки Black Energy на энергообъекты в США и затмение Telegram
В Испании арестован один из лидеров группы Cobalt
26 марта Европол объявил об аресте в испанском городе Аликанте одного из лидеров хакерской преступной группы Cobalt, которую Банк России называл главной угрозой для банков. По данным Европола, всего группа похитила около 1 млрд евро у 100 банков в 40 странах мира. Мы фиксировали, что фишинговые рассылки доходили даже до банков Австралии и Японии. Криминалисты Group-IB одними из первых исследовали атаки Cobalt на российские и зарубежные банки. Вначале хакеры специализировались на бесконтактных атаках на банкоматы. Кроме систем управления банкоматами они старались получить доступ к платежным шлюзам и карточному процессингу. В конце 2017 года впервые в истории финансовой системы России Cobalt совершила успешную атаку на банк с использованием системы межбанковских переводов (SWIFT). Несмотря на арест одного из лидеров группы, атаки в 2018 году продолжились. Уже на следующий день после сообщения Европола Group-IB зафиксировала очередную фишинговую рассылку Cobalt от имени некоммерческой организации SpamHaus, которая борется со спамом и фишингом.
ФБР предупредило об угрозе BlackEnergy
Департамент внутренней безопасности США и ФБР выпустили совместное техническое предупреждение, оповещающее о возможных нападениях на критическую инфраструктуру США со стороны группы Black Energy (Dragonfly, Energetic Bear). DHS и ФБР подчеркивают, что прогосударственные хакеры проводят многоступенчатые кампании по вторжению в небольшие коммерческие сети энергетического сектора. Активность группы была также замечена на критически важных объектах энергетического, ядерного и авиационно-космического секторов. Подобное предупреждение ФБР уже выпускало в июле 2017 года после серии атак на энергосистемы в Великобритании, Ирландии и США. Группа Black Energy известна тем, что в 2016 году успешно атаковала энергетическую и финансовую системы Украины. Инструменты BlackEnergy позволяют удаленно управлять Remote terminal unit (RTU), которые отвечают за физическое размыкание/ замыкание энергосети. Именно BlackEnergy, как считают эксперты, стоит за распространением в 2017 году вирусов-шифровальщиков NotPetya и BadRabbit, поразивших украинские министерства, банки, аэропорт и метро.
Эксперты заметили активизацию хакеров с Востока
В FireEye отметило повышенную активность связанной с Китаем группы Leviathan (TEMP.Periscope). Начиная с 2014 года, объектом ее атак являются научно-исследовательские институты, академии и частные консалтинговые фирмы, связанные с военными ведомствами США и стран НАТО. Для заражения компьютеров кибершпионы используют фишинговые письма с вредоносным вложением. В свою очередь в NCC Group рассказали об атаке на подрядчиков в различных правительственных ведомствах Великобритании и военных организациях со стороны группы APT15 (Ke3chang), связанной с Китаем. NCC Group обнаружили два новых бэкдора, которые использовала группа APT15. Хакеры занимаются кибершпионажем с 2010 года.

Затмением Telegram воспользовались жулики
Эксперты Group-IB зафиксировали, что сбоем в работе популярного мессенджера Telegram Павла Дурова 29 марта воспользовались мошенники. Всего за пару часов на крипто-кошельки, рекламируемые фейковым аккаунтом Дурова в Twitter'е, упало около $60 000.
Евгения Никулина выдают США
Чехия согласилась выдать в США гражданина России Евгения Никулина, обвиняемого во взломе в 2012 году сервисов Armaged0, Linkedin, Dropbox и Formspring, краже личных данных пользователей с целью их продажи. Никулин был задержан в Праге в октябре 2016 года по запросу американских спецслужб. Об этом стало известно случайно, когда у прессы оказались документы из чешской психиатрической клиники, где несколько дней находился Никулин. Если американский суд признает Никулина виновным, ему грозит штраф до 1 млн долларов и тюремное заключение сроком до 32 лет.
Апрель
Отчет Group-IB, впервые раскрывающий связи Cobalt и Anunak, война Роскомнадзора с Telegram, аресты в США и Европе
Group-IB обнаружила связи Cobalt и Anunak
Эксперты Threat Intelligence Group-IB выпустили отчет «Cobalt: эволюция и совместные операции», в котором впервые приводят доказательства связи Cobalt и группы Anunak, анализируют их совместные операции и используемые инструменты для атак. Первые успешные атаки и хищения денег через SWIFT группа Cobalt совершила весной 2016 года в банке Гонконга, затем на Украине. После этого Cobalt переключились на более простые и безопасные для мулов cхемы атак и хищений денег через карточный процессинг и сеть управления банкоматами. В ходе атаки на First Bank на Тайване хакерам удалось из трех десятков банкоматов похитить $2 млн. В сентябре 2016 они сумели проникнуть в один из банков Казахстана и похитить около $600 тысяч через карточный процессинг. В феврале 2017 года хакеры взломали системного интегратора, которого использовали как «посредника» для проведения атак на компании в России, Казахстане, Молдавии.
В начале 2017-го года Cobalt находят команду разработчиков, которые создают и тестируют новые инструменты по заказу группы. Для вывода из строя банковской сети хакеры использовали модификацию известного во всем мире вируса-шифровальщика Petya. В декабре 2017-го Cobalt вернулась к атакам на SWIFT - впервые в истории российской финансовой сферы был атакован банк с доступом к SWIFT.
Именно в этом году Group-IB подтвердит связь Cobalt с Anunak. Она объясняет ряд других более ранних эпизодов, когда в «почерк» Cobalt добавлялись нетривиальные для них инструменты и методы работы, значительно затрудняя атрибуцию.
В России началась блокировка Telegram
После того как мессенджер Павла Дурова отказался передать ФСБ ключи шифрования, Роскомнадзор разослал провайдерам уведомление о блокировке Telegram. В течение нескольких часов мессенджер стал недоступен для абонентов крупных операторов связи. Пытаясь не дать Telegram перескочить на другие «айпишники», Роскомнадзор закрывает доступ к IP-адресам облачного сервиса Amazon Web Services и Google. В итоге страдают все. Часть пользователей ищет способы обхода блокировки с помощью VPN. Group-IB предупреждает: на волне хайпа появляется большое количество поддельных VPN, которые не обеспечат безопасность, а наоборот будут шпионить за пользователями — так могут утечь пароли, переписка в почте и т.д.
Ликвидирован сервис по организации DDoS-атак на заказ
Europol, голландская полиция и Национальное агентство по борьбе с преступностью (NCA) 24 апреля ликвидировали webstresser.org, самый большой в мире сервис по организации DDoS-атак на заказ, на счету которого более 4 миллионов атак. Операция, получившая название Power Off, позволила не только закрыть ресурс, но и арестовать администраторов — 6 членов преступной группы в Шотландии, Хорватии, Канаде и Сербии. Служба DDoS-for- hire позволяла преступникам без особых технических навыков запускать мощные кибератаки. По данным Europol, у Webstresser.org было 136 000 зарегистрированных пользователей и сервис активно использовался для таргетированных атак на онлайн-сервисы банков, государственных учреждений, полицейских департаментов.
Хакер Кейн Гэмбл наказан за взлом почты экс-начальника ЦРУ
Британский хакер Кейн Гэмбл (18 лет), взломавший почтовые ящики ведущих американских разведчиков и сотрудников службы безопасности, включая бывшего начальника ЦРУ Джона Бреннана, получил два года тюрьмы. Гэмбл был арестован в своем доме 9 февраля 2017 года. По словам прокурора, подросток утверждал, что он выступал в поддержку палестинцев, и из-за того, что Соединенные Штаты «убивали невинных гражданских лиц». Следствие считало, что он являлся основателем хакерской группы Crackas With Attitude, проводившей атаки на силовиков США с октября 2015 года по февраль 2016 года. Два других члена команды — Андрей Отто Боггс и Джастин Грей Ливерман — были арестованы ФБР в сентябре 2016 года и уже приговорены к пяти годам в федеральной тюрьме. Адвокат Гэмбла утверждал, что его клиент является аутистом.
Эксперта арестовали за фишинг
Грант Уэст (Grant West), независимый компьютерный эксперт, был арестован полицейскими во время поездки из Уэльса в Лондон за отправку фишинговых писем клиентам таких популярных компаний, как Uber, Apple, Sainsbury's, Ladbrokes и Just Eat. Цель мошенника заключалась в том, чтобы заманить клиентов и убедить их раскрыть данные кредитных карт. Чтобы помочь в этом, он принуждал жертв к заполнению онлайн-опросов, которые позже просили данные кредитных карт. Данные скомпрометированных карт злоумышленник продавал через DarkWeb.
Май
Эпидемия VPNFilter, Cobalt прикидывается "Лабораторией Касперского", арест в Волгограде при участии Group-IB, Винник написал явку с повинной.
Ботнет VPNFilter прошелся по 54 странам мира
Ботнет VPNFilter, заразивший как минимум полмиллиона роутеров в 54 странах мира, стал одной из самых серьезных и обсуждаемых киберугроз мая. Первыми о ней рассказали эксперты из Cisco Talos. Программа представляет опасность для маршрутизаторов и сетевого оборудования от производителей Linksys, MikroTik, NETGEAR, TP-Link, ASUS, D-Link, Huawei, Ubiquiti, QNAP, UPVEL и ZTE. Для заражения iOT-устройств VPNFilter использовала известные уязвимости, а также учетные данные по умолчанию. Как итог — хакеры могли шпионить за владельцами домашних и офисных маршрутизаторов да еще и выводить оборудование из строя.
У Banco de Chile украли деньги и затерли жесткие диски
Как мы и предсказывали, продолжаются кибератаки на финансовые учреждения не только для кражи денег, но и для саботажа или диверсии. 24 мая киберпреступники атаковали крупнейший чилийский Banco de Chile и смогли похитить $10 млн, для отвлечения внимания использовав новую версию KillDisk — утилиту, предназначенную для полного и необратимого удаления данных. Первоначально банк отказывался признать случившееся кибератакой, но 28 мая, было выпущено заявление, в котором руководство Banco de Chile признало, что банк был атакован «вирусом» KillDisk. Он проник на 9 000 компьютеров и 500 серверов банка, стер содержимое жестких дисков и повредил основную загрузочную запись (MBR), сделав устройства непригодными для перезагрузки. Это вызвало сбои в работе систем банка, внутрибанковские операции были практически заблокированы. Воспользовавшись создавшимся хаосом, мошенники вывели через SWIFT (международную систему передачи финансовой информаци) несколько крупных транзакций.
Group-IB: Cobalt атакует банки от имени известной антивирусной компании.
В мае Group-IB зафиксировала целую серию масштабных кибератак со стороны группы Cobalt на ведущие банки России, СНГ и Европы. 21 мая прошла вредоносная рассылка от имени компании Apple, письма были написаны на английском языке. Два дня спустя, 23 мая Cobalt атаковала финансовые организации от имени "Лаборатории Касперского". Сотрудники банков получили «жалобу» на английском языке, что их компьютеры якобы нарушают законодательство. Пользователям предлагали внимательно ознакомиться с документом и предоставить детальные объяснения. Если ответ не поступит в течение 48 часов, «антивирусная компания» угрожала наложить санкции на web-ресурсы получателя. И, наконец, 28 мая Cobalt провела новую вредоносную рассылку от имени Европейского Центрального банка.
ФБР предупреждает о Lazarus
Департамент внутренней безопасности (DHS) и ФБР выпустили совместное техническое предупреждение о двух вредоносных программах, связанных с северокорейской группой Hidden Cobra (Lazarus). Речь идет о Joanap, инструменте удаленного доступа (RAT) и Brambul, черве сервера сообщений (SMB).
Group-IB помогла арестовать хакера, похищавшего до 500 тыс. рублей в день
Управлением «К» МВД России при активном содействии Group-IB был задержан 32-летний житель Волгоградской области, обвиняемый в хищениях у клиентов российских банков при помощи Android-трояна. Анализируя «цифровые следы» совершенных краж, специалисты Group-IB выяснили, что используемый в преступной схеме банковский троян был замаскирован под финансовое приложение «Банки на ладони», выполняющего роль «агрегатора» систем мобильного банкинга ведущих банков страны. В приложение можно было загрузить все свои банковские карты, чтобы не носить их с собой, но при этом иметь возможность просматривать баланс карт на основе входящих SMS по всем транзакциям, переводить деньги с карты на карту, оплачивать онлайн-услуги и покупки в интернет-магазинах. Приложение распространялось через спам- рассылки, на форумах и через официальный магазин Google Play. Впервые активность этой вредоносной программы была зафиксирована в 2016 году. В среднем, похищалось от 100 000 до 300 000 ежедневно, а к началу 2018 года суммы ущерба выросли до 500 000 рублей в день. Часть денег переводилась в криптовалюту для безопасного вывода денег и маскировки следов преступления.
Александр Винник написал явку с повинной
Россиянин Александр Винник, арестованный в июле 2017 года в Греции, написал явку с повинной в Генпрокуратуру России, признался в отмывании денег и мошенничестве. Ущерб от его деятельности оценивается в 750 млн рублей. Однако пока Виннику грозит экстрадиция в США — Минюст США обвиняет его в мошенничестве и отмывании $4 млрд через биткоин-транзакции. Винник, по данным американских властей, мог иметь отношение к средствам, пропавшим в 2014 году после банкротства криптовалютной биржи Mt.Gox. Четыре года назад эта биржа, на которой концентрировалось 70% всей мировой торговли биткоинами, подверглась хакерской атаке и оттуда было похищено 850 000 биткоинов (около $500 млн).
Июнь
Исходные коды Pegasus, братья Попелыши получили срок, хакеры взломали 700 000 "учеток" интернет-магазинов
В открытом доступе появились исходные коды Pegasus
Архив с описанием атак на российские банки и исходными кодами фреймворка Pegasus, нацеленного на АРМ КБР, выложил на хакерских форумах пользователь под псевдонимом Bobby.Axelrod. Архив датируется концом 2015 - началом 2016 года. Кроме данных, слитых из банков, он содержит исходные коды инструмента, разработанного преступной группой для проведения атак на банки с помощью фреймворка Pegasus, нацеленного на АРМ КБР. Особенно стоит выделить модули для работы с платежками в системе АРМ КБР и модуль для распространения по сети. В одном из текстовых документов был подробно расписан механизм антифрод-системы, используемых в российских банках.
Братьев Попелышей посадили со второго раза
18 июня Савеловский районный суд Москвы вынес обвинительный приговор участникам хакерской группы, которую возглавляли братья-близнецы из Санкт-Петербурга Дмитрий и Евгений Попелыши. С марта 2013 по май 2015 года группа Попелышей получила доступ к более чем 7 000 счетов клиентов ведущих российских банков и похитила более 12,5 млн рублей. Любопытно, что атаки на клиентов банков Попелыши совершали, имея непогашенную судимость: еще в 2012 году они получили условный срок. Криминалисты Group-IB участвовали в расследовании и выступали в суде в качестве экспертов и довели дело Попелышей до логического завершения — судебного приговора.
Засветили новый банковский троян BackSwap
Исследователи Group-IB опубликовали информацию о новом банковском трояне BackSwap, атаковавшего весной 2018 года польские банки. BackSwap работает с элементами графического интерфейса Windows (Windows GUI) и имитирует выбор клавиш, чтобы обойти защиту браузера. В отличие от других банковских троянов BackSwap не внедряет в процессы браузера вредоносный код, потому что это легко детектируется антивирусами.
Мошенники маскировались под государственные онлайн-сервисы
Group-IB выявила новую мошенническую сеть ресурсов, маскирующихся под государственные онлайн-сервисы и промо-сайты популярных браузеров. Создатели фейковых ресурсов обещали посетителям вознаграждение, достигающее 200 000 руб. Для того, чтобы его «заработать» необходимо было выполнить ряд условий, каждое из которых требует от посетителя денежного взноса: минимальная сумма — 350 руб, максимальная — 1700 руб. «Работа» сети была поставлена на поток: начиная с апреля 2018 года с ее помощью мошенники зарабатывали на доверчивых гражданах из России, Украины, Белоруссии и Казахстана — только за месяц фейковые ресурсы суммарно посетили около 300 000 человек.
Пойманы хакеры, взломавшие 700 000 учетных записей пользователей интернет-магазинов
Управлением «К» МВД России при содействии Group-IB были задержаны двое киберпреступников по «Бонусному делу». Это громкая история о взломах порядка 700 000 учетных записей участников программ лояльности популярных интернет-магазинов, платежных систем, букмекерских компаний и онлайн-служб заказов такси. В целом от рук мошенников пострадали десятки компаний, среди них – «Юлмарт», «Биглион», «Купикупон», «PayPal», «Групон» и многие другие. Киберпреступники признались, что заработали как минимум 500 000 рублей. Они воспользовались тем, что многие посетители сайтов используют одну и ту же связку логин\пароль на нескольких ресурсах.
Минюст США ударил по Business Email Compromise
Минюст США объявил об аресте 74 человек в рамках международной операции правоохранительных органов, получившей название Operation WireWire, направленной на борьбу с BEC (Business Email Compromise) — финансовым мошенничеством в корпоративной переписке. Суть его заключается в хищении денег у сотрудника фирмы с использование методов социальной инженерии (фейковых писем от партнеров или коллег, поддельных банковских переводов ), взломов компьютеров. По данным ФБР, общий ущерб бизнесу от BEC составляет около 5,3 млрд долларов.
Июль
MoneyTaker вывела деньги из ПИР Банка, мошенники зарабатывают на мундиале, закат Anunak (FIN7)
Group-IB выяснила: ПИР Банк атаковала группа MoneyTaker
Group-IB установила, что за атакой на российский ПИР Банк и попыткой хищения 58 млн. стоит преступная группа MoneyTaker. Были обнаружены инструменты, которые ранее использовала группа MoneyTaker для проведения атак на банки, вредоносные программы, позволяющее однозначно атрибутировать инцидент, а также IP-адреса, с которых проводилось управление вредоносными программами. Инцидент произошел 3 июля с использованием АРМ КБР (автоматизированное рабочее место клиента Банка России). По заявлению банка, денежные средства выведены веерной рассылкой на пластиковые карты физических лиц в 17 банках из топ-50, большая часть денежных средств обналичена уже в ночь хищения. После этого злоумышленники попытались закрепиться в сети банка для подготовки последующих атак, однако вовремя были обнаружены.
Атака на ПИР Банк началась в конце мая 2018 года. Предполагаемой точкой входа стало скомпрометированное сетевое устройство (маршрутизатор), стоящее в одном из территориальных подразделений банка. На маршрутизаторе были настроены туннели, позволившие атакующим получить доступ в локальную сеть банка. Такой способ проникновения в сеть является характерным для группы MoneyTaker. Как минимум трижды хакеры уже использовали эту схему при атаках на банки, имеющие региональную филиальную сеть.
"Спящий" троян Kronos вновь атакует банки
Банковский троян Kronos, несколько лет назад атаковавший клиентов российских банков, после длительного перерыва этим летом активизировался за пределами России — в Германии, Японии и Польше. Заражение Kronos шло двумя способами — через фишинговую почтовую рассылку, содержащую вредоносное вложение, либо на взломанном веб-сайте. Group-IB сталкивалась с Kronos еще в 2014 и 2015 годах — мы предупреждали подписчиков Threat Intelligence о старте продаж трояна на хакерских форумах и атаках на клиентов банков. По своему функционалу и формату правил веб-инъекций Kronos был похож на другой известный троян — ZeuS, который называют "королем троянов". Первые объявления о продаже трояна Kronos на подпольных хакерских форумах появились летом 2014 года. Первоначальная цена этого трояна составляла $7 000 с "пожизненной лицензией". Потом цена была снижена до $3 000 «с обновлениями, полной поддержкой, а также командой и инструкцией по вводу документации». Новая версия Kronos, обнаруженная в Германии, Японии и Польше, имеет незначительные улучшения, например, механизм управления и контроля (C& C) через Tor (The Onion Router)


Бухгалтеров заражали троянами Buhtrap и RTM
Group-IB обнаружила сеть сайтов, заражавших посетителей банковскими троянами Buhtrap и RTM. Три ресурса, появившихся в апреле 2018 года, уже успели посетить, как минимум, 200 000 человек. Жертвами таргетированной атаки хакеров стали финансовые директоры, юристы, бухгалтеры и другие специалисты, использующие в своей работе системы дистанционного банковского обслуживания (ДБО), платежные системы или криптокошельки.

Чемпионат мира по футболу сопровождает небывалый уровень интернет-мошенничества
Ажиотаж с покупкой билетов, рост цен на аренду недвижимости, наплыв иностранных болельщиков - злоумышленники не преминули воспользоваться этой ситуацией для своего обогащения. C конца 2017 года и вплоть до самого открытия Чемпионата мира по футболу Group-IB фиксировала рост числа регистраций доменов, нелегально эксплуатирующих тематику турнира. В мае был установлен своеобразный рекорд - порядка 42 000 подобных доменов. В их названиях активно использовались такие слова как "FIFA", "Russia", "WorldСup2018", "tickets", "Чемпионат мира" и их различные комбинации. За месяц до открытия мундиаля Group-IB обнаружила порядка 1000 подобных рекламных объявлений, ведущих на мошеннические сайты, где предлагается купить или продать свой билет на Чемпионат мира FIFA 2018, а также снять жилье в российских городах на период проведения мундиаля. Например, впервые был таргетированно задействован Instagram: площадка использовалась для привлечения пользователя на мошеннический сайт, например, с помощью розыгрышей билетов и обещаний призов.
«Яндекс» показал документы Google Docs и Google Drive
В открытом доступе оказались файлы пользователей сервисов Google Docs и Google Drive с личными данными, включая пароли и номера телефонов. Найти их можно было через поиск "Яндекс". Позже выяснилось, что через поисковики можно найти не только документы Google, но персональные данные россиян, включая копии паспортов и документов. Вину за происходящее возложили на администраторов сайтов, которые не предприняли необходимых действий по ограничению доступа к ресурсам — запрете поисковым роботам индексировать страницу и правильно заполнить файл robots.txt. Специальные расширенные поисковые команды (Google hack либо Google dorks) используются в рамках пентестов, первичной киберразведки. Нередко этот легальный инструмент применяют киберпреступники, он позволяет находить информацию, которая обычным поиском не ищется: пароли, платежки, сканы документов, и другую ценную информацию.


Арестованы участники группы FIN7
В США арестованы трое граждан Украины — Дмитрий Федоров, Федор Хладыр и Андрей Колпаков, которых Минюст связал с группой Anunak, так же известной как FIN7. По информации Минюста США, начиная по крайней мере с 2015 года, члены группировки атаковали более 100 компаний — рестораны, отели и игорные заведения. Кроме того, их подозревают в атаках на компьютерные сети Великобритании, Австрии и Франции. Злоумышленники выкрали данные более 15 млн банковских карт, взломали 6,5 тыс. POS-терминалов в 3,6 тыс. торговых точек. Среди сетей, которые публично заявили о хакерских атаках, значатся: Chipotle Mexican Grill, Chili's, Arby's, Red Robin и Jason's Deli.
Федоров был пойман в январе 2018 года в польском городе Бельско-Бяла и вскоре должен быть экстрадирован в США. Следствие полагает, что он выполнял в Fin7 роль менеджера и администратора, контролирующего других хакеров, которые непосредственно взламывали компьютерные системы. Хладыр был задержан в Дрездене (Германия) и сейчас уже находится под стражей в США. Предполагается, что он был системным администратором Fin7, поддерживал серверы и каналы связи, раздавал задачи и инструктировал других членов хакерской группы. Колпакова правоохранители задержали в конце июня в испанском городе Лепе. По данным следствия, Колпаков, как и Федоров, был руководителем одной из групп хакеров из Fin7. Каждому из задержанных инкриминируют ряд преступлений — мошенничество с помощью электронных средств, взлом компьютеров, похищение личных данных.
Август
Утечки криптобирж, засилие программ для майнинга и торжество Threat Intelligence
Group-IB посчитала утечки пользователей криптобирж
В отчете Group-IB «2018 Криптовалютные биржи. Анализ утечек учетных записей пользователей» фиксируется устойчивый рост числа скомпрометированных учетных записей пользователей криптовалютных бирж. Количество утечек данных пользователей на криптовалютных биржах за 2017 год увеличилось на 369% в сравнении с предыдущим годом, а в январе 2018 года - на 689% по сравнению со среднемесячным показателем 2017 года. Лидерами по количеству жертв кибератак на криптовалютные биржи стали США, Россия и Китай. Задействованная киберпреступниками инфраструктура в основном базируется в США (56,1%), Нидерландах (21,5%), на Украине (4,3%) и в России (3,2%).
SC Magazine дал высокую оценку Threat Intelligence (TI) Group-IB
SC Magazine, один из самых авторитетных международных журналов в сфере информационной безопасности, опубликовал обзор Threat Intelligence, назвав решение одним из лучших систем в своем классе Group-IB, международная компания, специализирующаяся на предотвращении кибератак, получила высокую оценку от журнала SC Magazine за Threat Intelligence (TI). Group-IB TI — первое созданное в России решение для раннего предупреждения киберугроз, удостоившееся внимания SC Magazine. В обзоре SC Magazine подчеркивается, что Group-IB стояла у истоков расследования и предотвращения киберпреступлений в России, а затем начала успешно продвигать свои технологии на международных рынках: «Эксперты Group-IB приняли активное участие в расследовании более чем 1000 киберинцидентов на территории России и Европы», — отмечается в обзоре SC Magazine.
Предложения о продаже и аренде программ для майнинга увеличились в 5 раз
Group-IB фиксирует новые вспышки угрозы нелегитимного майнинга (криптоджекинга) в сетях коммерческих и государственных организаций. По данным системы Group-IB Threat Intelligence за год количество объявлений на теневых форумах, в которых предлагаются программы для майнинга на продажу или в аренду, увеличилось в 5 раз (H1 2018 против H1 2017). Опасной тенденцией эксперты Group-IB называют широкую доступность троянов-майнеров, предназначенных для использования чужих устройств и инфраструктуры в целях нелегитимной генерации различных типов криптовалюты. За первое полугодие 2018 года система Threat Intelligence (Киберразведка) Group-IB зафиксировала 477 объявлений на хакерских форумах о продаже или аренде программ для майнинга, в то время как за аналогичный период 2017 года их количество было в пять раз меньше — 99.
Сентябрь
Silence – новая угроза для банков во всем мире, Интернет-пираты снова подняли флаг, ажиотаж вокруг новых iPhone
Group-IB раскрыла преступления хакерской группы Silence.
Их жертвами уже стали российские банки, однако следы атак группы аналитики Group-IB обнаружили в более чем 25 странах по всему миру. Group-IB выпустила первый подробный отчет «Silence: Moving into the darkside» о деятельности группы Silence, где проанализированы инструменты, техники и схемы атак группы. Аналитики компании выдвигают гипотезу о том, что по крайней мере один из двух участников Silence — это бывший или действующий сотрудник компании сферы информационной безопасности. Подтвержденный ущерб от деятельности Silence на данный момент составляет 52 млн руб.
Объем рынка интернет-пиратства в России за 2017 год оценили в $85 млн.
Эксперты Group-IB Anti-Piracy оценили объем рынка интернет-пиратства в России за 2017 год. По данным компании, его рост составил 21% по сравнению с прошлым годом и достиг 85 млн долл. количество запросов в популярных поисковых системах на просмотр фильмов и сериалов бесплатно составил почти 10 млрд за год. Таким образом, в среднем, исходя из суммарной аудитории Интернета прошлого года по России (~90 млн ), на каждого пользователя в среднем приходится порядка 110 просмотров пиратских копий кинокартин. Рост числа краж контента с экранов кинотеатров привел к тому, что количество пиратских копий фильмов составило 211 единиц в 2017 году, что более чем в 6 раз превышает показатель годом ранее (33 «экранки»). При этом только за первые 9 месяцев 2018 года количество опубликованных «экранок» уже перевалило за отметку в 280 копий. Таким образом, почти каждая кинокартина, вышедшая в 2018 году в прокат, была скопирована пиратами и выложена в сеть.
Group-IB обнаружила более 5 тыс. доменов, созданных для продажи новых iPhone
Количество мошеннических и фишинговых сайтов по продаже продукции компании Apple, созданных после релиза новых моделей iPhone, увеличилось в два раза по сравнению с сентябрем 2017 года и составило более 800 ресурсов. За последние три месяца эксперты Group-IB обнаружили более 5 тыс. доменов, созданных для продажи новых iPhone, при этом часть из них используется мошенниками для фишинга, кражи информации о банковских картах и персональных данных пользователей. По оценкам специалистов Group-IB, потенциальная выручка топ-20 мошеннических сайтов может составить около $500 тыс.
Октябрь
CyberCrimeCon 2018, атаки на промышленность РФ, срок для создателя ботнета Mirai
Group-IB провела двухдневную конференцию по кибербезопасности CyberCrimeCon 2018
Культовую площадку для экспертов по информационной безопасности посетили более 1800 гостей со всего мира, в том числе представители INTERPOL, киберполиций разных стран, корпораций, банков, госучреждений и криптоиндустрии. Выступления 30 спикеров прошли при полном аншлаге. Мероприятие освещали более 100 российских и международных журналистов. В своем выступлении Илья Сачков, основатель и CEO Group-IB, заявил о том, что оборонительная стратегия уже себя исчерпала. Переход от защиты к охоте за киберпреступниками — магистральный тренд рынка информационной безопасности. Изменилась главная идея: нужно стать охотником, а не мишенью для атак, быть на несколько шагов впереди и предотвращать киберугрозы еще на ранней стадии, подчеркнул Сачков. В рамках схемы парадигмы на конференции был анонсирован принципиально новый класс решений для обеспечения комплексной защиты против целевых атак.
В продаже оказались данные скомпрометированных платежных карт пакистанских банков.
Group-IB обнаружила большую партию данных скомпрометированных платежных карт, которые были выставлены на продажу 26 октября и 13 ноября на сайте Joker's Stash — одном из самых популярных андеграундных ресурсов для продажи данных украденных кредитных карт. До этой утечки эксперты Group-IB отследили две последовательные загрузки данных скомпрометированных банковских карт банков Пакистана на Joker's Stash. Первая произошла 26 октября, когда в продажу на Joker's Stash поступил новый дамп, называемый PAKISTAN-WORLD- EU-MIX-01. Эта база данных дампов содержит сведения о 10 467 платежных картах, из которых 8 704 принадлежат пакистанским банкам, включая банк BankIslami. Общая стоимость партии оценивается в 1,1 миллиона долларов США, а розничная стоимость варьировалась от 35 до 150 долларов США. Еще одна партия дампов была опубликована на Joker's Stash 31 октября. Она включала данные по 11 795 картам, выпущенным ведущими банками Пакистана и других стран: 710 дампов из неопределенных банков и 1031 дамп из банков за пределами Пакистана. В подборке не было опубликовано ни одного дампа карт банка BankIslami.
Хакеры атакуют промышленные объекты в России и Беларуси
Специалисты Group-IB обнаружили атаку проправительственной хакерской группы на промышленные объекты в России и Беларуси. 19 октября с частного адреса было отправлено вредоносное письмо с темой «Перечень вопросов», к которому прилагался DOC-файл под названием «Перечень вопросов по Пекин-2018». Атака была направлена на промышленные объекты, принадлежащие России и Беларуси. По данным Group-IB, эту атаку совершила проправительственная группа хакеров.
Задержаны «киберзащитники», торговавшие доступом к «учеткам» клиентов банков и интернет‑компаний
Сотрудники управления «К» Министерства внутренних дел России при активной поддержке со стороны Group-IB и службы безопасности банка Почта Банк обнаружили преступную группу, которая взламывала личные кабинеты банков, интернет-магазинов и страховых компаний. Получив доступ к учеткам, злоумышленники под видом специалистов по информационной безопасности требовали от СБ ресурсов выкуп за предполагаемые «уязвимости» в системах. В качестве доказательства они предоставили скомпрометированные данные. Сумма «выкупа» составляла от 40 000 до 250 000 рублей. Кроме того, злоумышленники продали данные для доступа к учетным записям на хакерских форумах.
Создатель Mirai получил шесть месяцев домашнего ареста.
Суд Нью-Джерси вынес приговор создателю Mirai botnet, 22- летнему Парасу Джа из Фанвуда, после того, как обвиняемый признал себя виновным в нарушении Закона о борьбе с компьютерным мошенничеством и злоупотреблениями (CFAA). Злоумышленник был приговорен к шести месяцам домашнего ареста и выплате штрафа в размере $8,6 миллиона в качестве компенсации за атаки DDoS на системы Университета Рутгерса. Этот человек был также приговорен к 2500 часам общественных работ и к пяти годам освобождения под присмотром. Кроме того, Джа признал себя виновным в совершении нескольких DDoS-атак против своего собственного Университета Рутгерса в период с ноября 2014 года по сентябрь 2016 года.
Ноябрь
Глобальный офис Group-IB переедет в Сингапуре, хакеры атакуют от имени ЦБ РФ и сайты-клоны AliExpress
Group-IB открывает глобальный офис в Сингапуре
Расширяя присутствие на рынке Юго-Восточной Азии, Group-IB планирует инвестировать в развитие инфраструктуры по противодействию киберпреступности в регионе около $30 млн в течение ближайших лет. Об этом было объявлено на первой конференции CyberCrimeCon'18 в Сингапуре. К этому событию компания подошла в отличной бизнес-форме: выручка Group-IB относительно прошлого финансового года увеличилась на 62%, при этом международное направление бизнеса показало рост почти на 50%, из них более 30% уже приходится на Юго-Восточную Азию. Компания выросла в два раз по численности - более 300 человек.
Сразу две хакерские группы атаковали российские банки якобы от имени Центробанка
Сразу две хакерские группы атаковали российские банки якобы от имени Центробанка. Group-IB, международная компания, специализирующаяся на предотвращении кибератак, зафиксировала массовые вредоносные рассылки по российским финансовым учреждениям якобы от имени Центрального Банка России и ФинЦЕРТ, структуры Департамента информационной безопасности ЦБ. Эксперты Group-IB установили, что атаку 15 ноября могла провести хакерская группа Silence, а 23 октября — MoneyTaker. Обе преступных группы включены Group-IB в число наиболее опасных для российских и международных финансовых организаций.
Мошенники создали более 400 сайтов-клонов AliExpress
Накануне BlackFridaySale эксперты Brand Protection обнаружили более 400 сайтов-клонов, копирующих популярную торговую интернет-площадку AliExpress, и еще две сотни сайтов, созданных под известные бренды и интернет-магазины. Целью подобных мошеннических ресурсов может быть как реализация контрафактных товаров, так и кража денег или данных банковских карт пользователей.
Хакеры украли данные у 500 миллионов гостей Marriott
Marriott признал, что хакеры взломали базу данных о бронировании номеров в своих дочерних отелях Starwood и украли личные данные примерно 500 миллионов гостей. Вторжение было обнаружено еще 8 сентября, когда система мониторинга обнаружила доказательства попытки доступа к базе данных по бронированию гостей Starwood в Соединенных Штатах. По данным компании, хакеры с 2014 года получили доступ к системе бронирования гостей Starwood и скопировали и зашифровали информацию. Неизвестные хакеры завладели доступом к личной информации почти 327 миллионов гостей, скомпрометированные записи включают имена, почтовые адреса, номера телефонов, адреса электронной почты, номера паспортов, даты рождения, пол, информацию о прибытии и отъезде, дату бронирования. Это один из крупнейших инцидентов в секторе гостиничном бизнесе.
ФБР объявило в розыск создателей вируса-вымогателя SamSam
Минюст США обвинил в создании и распространении SamSam, терроризирующего американские города, двух граждан Ирана — Фарамарц Шахи Саванди (34 года) и Мохаммада Мехди Шах Мансури (27 лет). Они разработали SamSam в декабре 2015 года, с того момента шифровальщик атаковал более 200 организаций, в том числе государственные учреждения, муниципалитеты и больницы. Почти 74% известных жертв SamSam находятся в США, остальные - в Великобритании и на Ближнем Востоке. Общий ущерб превысил $30 млн. Охранная фирма Sophos отследила адреса биткойн-кошельков, управляемых преступной группировкой, и обнаружила, что 233 жертвы перечислили мошенникам с конца 2015 года более $ 5,9 млн. Самый крупный выкуп составил $64 тыс. Сыщики установили, что Саванди и Мансури использовали иранские биржи биткойнов для обмена криптовалюты на иранский риал. ФБР объявило создателей SamSam в розыск.


Декабрь
Новые массовые атаки RTM, компрометация 40 000 учеток на госпорталах и теневой рынок продаж алкоголя снова растет
Хакеры из RTM атаковали банки и другие организации от лица госучреждений
Group-IB зафиксировала массовую вредоносную рассылку по финансовым учреждениям и предприятиям. Злоумышленники отправили более 11 000 писем с фейковых почтовых адресов российских госучреждений — все они содержали троян RTM, предназначенный для кражи денег из сервисов дистанционного банковского обслуживания (ДБО) и платежных систем. В среднем, одно успешное хищение такого типа приносит злоумышленникам около 1,1 млн рублей. В настоящее время вредоносные рассылки продолжаются.
Group-IB: Киберпреступники похитили 40 000 учетных записей пользователей госресурсов в 30 странах мира
Group-IB зафиксировала более 40 000 скомпрометированных учетных записей пользователей крупнейших государственных ресурсов в 30 странах мира. Наибольшее количество пострадавших оказалось в Италии (52%), Саудовской Аравии (22%) и Португалии (5%). Предположительно эти данные могли быть проданы на подпольных хакерских форумах или использованы в целенаправленных атаках для кражи денег или информации. CERT-GIB — Центр реагирования на инциденты информационной безопасности Group-IB оперативно предупредил уполномоченные государственные организации CERT в этих странах о потенциальной опасности. Скомпрометированные злоумышленниками учетные записи — логины и пароли от личных кабинетов пользователей государственных порталов в 30 странах мира — были обнаружены системой Group‑IB Threat Intelligence (Киберразведка). Среди этих сайтов оказались государственные ресурсы Польши (gov.pl), Румынии (gov.ro) и Швейцарии (admin.ch), Армии обороны Израиля (idf.il), Правительство Болгарии (government.bg), Министерство финансов Грузии (mof.ge), Управление иммиграционной службы Норвегии udi.no, Министерства иностранных дел Румынии и Италии и так далее.
MoneyTaker «поблагодарил» пайщиков во вредоносной рассылке
В последнем месяце 2018 года была зафиксирована вредоносная рассылка, совершенная предположительно группой MoneyTaker. В письме клиентов благодарили за выбор некой управляющей компании и сообщали о якобы успешной выдаче паев инвестфонда. Вложения содержало «уведомление» о проведении операции в реестре владельцев инвестиционных паев, однако в результате на машину жертвы загружался Meterpreter.
Упоительный Интернет: объемы нелегальной онлайн-продажи алкоголя растут
Эксперты направления Brand Protection Group-IB оценили оборот «теневого» рынка продажи алкоголя в Интернете в 2018 году в 2,1 млрд. руб. Это почти на 400 млн рублей (+23% ) больше, чем в 2017 году. В общей сложности специалистами обнаружено около 4000 интернет-сайтов, торгующих спиртным в обход действующего законодательства. При этом злоумышленники создают целые сети из «зеркал» своих алкомагазинов — в случае блокировки одного сайта они оперативно переезжают на запасной ресурс.
Призрак WannaCry
Полтора года спустя после эпидемии WannaCry этот вирус-шифровальщик по-прежнему демонстрирует свою активность. Эпидемия могла иметь более печальные последствия, если бы распространение вредоноса не остановил ИБ-специалист Маркус Хатчинс (Marcus Hutchins aka MalwareTech) из компании Kryptos Logic. Сам Хатчинс уже более года находится под арестом в США по обвинению в создании и распространении вредоносного ПО, однако его коллеги из Kryptos Logic по-прежнему поддерживают работу «аварийного рубильника». По данным аналитиков, домен, играющий роль «стоп-крана» для вредоносной программы, до сих пор привлекает около 17 000 000 запросов каждую неделю. Эти обращения исходят с 630 000 уникальных IP-адресов, относящихся к 194 странам мира.
Прогнозы на 2019 год
Энергетические объекты останутся главной мишенью группировок, нацеленных на саботаж, однако озаботиться оценкой компрометации своих систем и быть готовыми к атакам необходимо всем объектам критической инфраструктуры, связанным с жизнеобеспечением населения.
Организациям, которым хотят защитить свои секреты, необходимо думать о безопасности не только своих корпоративных инфраструктур, но и домашних сетей и персональных устройств топ-менеджеров.
Фишинг останется основным методом заражения критических инфраструктур, но с развитием отдельных групп этот метод будет замещаться другими, более сложными в обнаружении техниками. В этом году тренд может сместиться в сторону уязвимого сетевого оборудования, с помощью которого эта сеть подключена к Интернет.
Приоритетными целями атакующих могут стать производители материнских плат и поставщики оборудования в государственные органы.
Реальная эксплуатация side-channel атак приведет к новым массовым утечкам из облачных сервисов, что может подорвать доверие к облачным инфраструктурам в случае резонансных инцидентов.
Аресты руководителей Cobalt и Fin7 могут привести к тому, что оставшиеся члены этих групп начнут формировать новые команды, что может привести к увеличению общего количества активных групп и обучению новых участников.
Сегодня все финансово-мотивированные киберпреступные группы, которые занимаются целенаправленными атаками на банки, являются русскоговорящими. Мы ожидаем, что аналогичные группы будут сформированы из хакеров из Латинский Америки, а также стран Азии. Скорее всего, их первыми целями будут банки в их регионах.
Мы ожидаем, что такие группы, как Silence, MoneyTaker и Cobalt могут провести несколько успешных целевых взломов криптобирж.
Атаки на ICO проекты по-прежнему будут актуальными для всех проектов, которые способны привлечь хорошие инвестиции.
Крупнейшие майнинг-пулы в мире могут стать целью не только киберпреступников, но и прогосударственных атакующих. При определенной подготовке это может позволить им взять под контроль 51% мощностей для майнинга и захватить управление криптовалютой.
Мы ожидаем начала атак на мобильный банкинг для юридических лиц в России. Основным методом методом распространения может стать контекстная реклама в поисковых системах.
После распространения исходных кодов основной угрозой для банкоматов без компрометации банковских сетей станет вредоносная программа «Котлета» (Cutlet).
Банковские Android-трояны будут захватывать мировой рынок и продолжат вытеснять банковские трояны для ПК.