Круглосуточная линия+7 495 984-33-64Электронная почтаАдрес офисаМосква, 115088, Шарикоподшипниковская, 1, БЦ «Прогресс Плаза», 9 этаж
Сообщить об инциденте

Расследования высокотехнологичных преступлений

Борьба с компьютерными, финансовыми, корпоративными преступлениями по всему миру и привлечение виновных к ответственности

Заказать расследование
1000+

успешных расследований проведено нашей профессиональной командой экспертов

$300 млн

возвращено потерпевшей компании по результатам одного из наших расследований

Европол, Интерпол

и международные правоохранительные органы тесно сотрудничают с Group‑IB

Преимущества расследований Group-IB

Основная задача расследования — привлечь виновных к ответственности. При необходимости мы сопровождаем дело до вынесения приговора, консультируя полицию, адвокатов, следователей, прокурора и давая показания в суде.

Глубокое понимание преступных схем

Благодаря 15-летнему опыту расследований мы понимаем всю цепочку действий злоумышленников: от вербовки инсайдеров и разработки программ для взлома — до вывода и обналичивания денежных средств. Таким образом, при своевременном обращении наши эксперты вовремя остановят злоумышленника и помогут вашему бизнесу избежать серьезных финансовых потерь.

Индивидуальный подход к расследованиям

Под каждое расследование собирается проектная команда из экспертов необходимого профиля. Поиском и интерпретацией собранных улик занимаются опытные специалисты в области финансовых расследований, бухгалтерского учета и финансового аудита, экономической безопасности, E‑Discovery и Forensic аналитики, эксперты корпоративного и гражданского права.

Сотрудничество с правоохранителями

Технологии проникают во все сферы нашей жизни, поэтому для расследования сложных преступлений сотрудникам правоохранительных служб требуются специализированные знания, методики. Наши специалисты тесно сотрудничают с национальной и международной полицией, расследуя разные виды преступлений — от кибератак до убийств и исчезновения людей.

Собственные технологии обнаружения преступников

Отдел расследований Group-IB использует свои методики и инструменты для установления личностей злоумышленников, причастных к инциденту. Собственные технологии анализа паттернов, сетевого анализа, тактического профилирования позволяют нам успешно расследовать самые сложные инциденты.

Какие виды преступлений мы расследуем:

Кража данных

Конкурентный шпионаж, фишинг, хищение интеллектуальной собственности, кража информации, составляющей коммерческую тайну, учетных данных и другой конфиденциальной информации.

Финансовые преступления

Кража криптовалюты, мошенничество в системах онлайн-банкинга и мобильного банкинга, атаки на банкоматы, системы карточного процессинга, SWIFT, платежные шлюзы.

Атаки на критическую инфраструктуру

Атаки на системы водоснабжения, транспортную инфраструктуру, системы управления технологическим процессом в энергетической и нефтегазовой промышленности.

Атаки с использованием вредоносного ПО

Создание, распространение и контроль вредоносных программ, бот-сетей, мошеннические e-mail рассылки, шифровальщики и шпионское ПО.

Информационные войны

Вымогательство, подрыв репутации, распространение негативной информации, преследование и кража личных данных.

Инсайдерские угрозы

Злоупотребление служебными полномочиями, конкурентный шпионаж, утечка данных, кража учетной записи.

DDoS-атаки

Заказные и целенаправленные атаки на веб-сервисы и ресурсы с целью приостановления их деятельности или затруднения доступа к ним

Кража интеллектуальной собственности

Присвоение исходного кода, программного обеспечения и других информационных продуктов.

Кроме борьбы с киберпреступниками Group-IB оказывает содействие правоохранительным органам в расследовании уголовных преступлений — убийств, доведения до самоубийства, грабежей, похищений людей.

Результаты расследования

По итогам расследования клиенту предоставляется:
Подробный профиль злоумышленника

Мы тщательно исследуем анатомию атаки и инфраструктуру злоумышленников, определяем механизмы и воссоздаем последовательность событий.

Безупречная доказательная база для суда

Эксперты Group-IB собирают и документируют цифровые доказательства в соответствии с требованиями законодательства для корректного представления в суде.

Консультирование правоохранительных органов

Наши эксперты обладают глубокими знаниями в сфере законодательства и оказывают всестороннюю поддержку правоохранительным службам на всех этапах расследования.

Резонансные международные расследования Group-IB

Расследование высокотехнологичных преступлений — старейшее направление деятельности Group-IB.

#Вымогательство

«Киберзащитники»

Взламывали личные кабинеты клиентов банков, интернет-магазинов, страховых компаний, а потом направляли в компанию-жертву письмо, выдавая себя за White Hat — экспертов по кибербезопасности, требуя «вознаграждение» от 40 000 до 250 000 рублей. Продавали полученные данные для доступа к аккаунтам на хакерских форумах.

Подробнее
#Android-трояны

CRON

Похищали деньги с банковских счетов пользователей смартфонов с ОС Android. Ежедневно заражали 3 500 телефонов и меньше чем за год установили его почти на 1 млн устройств. Общий ущерб от действий Cron оценивается, как минимум, в 50 млн рублей.

Подробнее
#Вредоносное ПО

CARBERP

Самая большая в России организованная преступная группа, похитившая более $250 млн. со счетов клиентов российских банков. Заразила своим вредоносным ПО более 1,5 млн. компьютеров.

Подробнее
#Кражи с банковских счетов

Братья Попелыши

Первые атаки на клиентов банков братья Попелыши вместе с калининградским хакером Александром Сарбиным совершили в 2010 году. Только за период с сентября по декабрь 2010 года Сарбин и Попелыши похитили у 16 клиентов около 2 млн рублей, а к февралю 2011 года жертвами фишеров стали 170 клиентов российских банков из 46 регионов страны;

Подробнее
#Android-трояны

“Киберфашисты”

Хакерская группа заразила около 340 тысяч устройств на базе ОС Android для совершения хищений с банковских счетов. Злоумышленники распространяли вредоносное ПО через смс-сообщения, содержащие ссылку на скачивание программы, замаскированной под Adobe Flash Player. Свою программу они назвали «5 рейх», а в системе управления использовали нацистскую символику.

Подробнее
#DDoS-атаки

Dragon

26-летний хакер осуществлял заказные DDoS-атаки, используя бот-сеть Dragon. Одной из его жертв стала крупная финансовая корпорация, владеющая несколькими банками. С момента обращения в Group-IB до момента задержания злоумышленника прошли рекордно короткие сроки — вся работа была выполнена в течение месяца.

Подробнее
#Атаки на Android

Мобильная бот-сеть

В конце 2013 года службой безопасности Сбербанка России была зафиксирована масштабная кибератака на владельцев смартфонов на базе ОС Android. Злоумышленники заражали их вредоносным программным обеспечением через массовую рассылку MMS-сообщений с обещанием «романтического подарка»: переход по ссылке приводил к загрузке вируса.”.

Подробнее
#Вымогательство #DDoS

Украинские DDoS-хакеры

Украинская хакерская группа занималась вымогательством и проводила DDoS-атаки на интернет-компании в течение 2-х лет. В сентябре 2015 г. международный сервис онлайн-знакомств AnastasiaDate столкнулся с мощными повторяющимися DDoS-атаками. Они вызвали многочасовые перебои в работе и отказ в обслуживании сайта компании. Вымогатели потребовали вознаграждение в размере 10 000 долларов США за прекращение нападений на ресурс.

Подробнее
#Атаки на ритейл

Взлом онлайн аккаунтов

Злоумышленники взломали 700 тыс. аккаунтов участников программ лояльности популярных интернет-магазинов, платежных систем и букмекерских компаний. Если взлом удавался, злоумышленники проверяли сумму накопленных бонусов и продавали скомпрометированные учетные записи на хакерских форумах по цене от 5$ за аккаунт.

Подробнее
#Вредоносное ПО

#Фейковые аккаунты

Хакер похищал средства у клиентов российских банков при помощи Android-трояна. Ежедневно у пользователей похищали от 100 000 до 500 000 рублей, часть украденных денег переводилась в криптовалюту для дальнейшего обналичивания и сокрытия своей деятельности. Банковский троян был замаскирован под «агрегатор» систем мобильного банкинга ведущих банков страны. Клиенты банков скачивали приложение и вводили данные своих карт.

Подробнее
#Целевые атаки на банки

Corkow

В феврале 2015 совершила первую в мировой практике атаку на брокера, вызвавшую аномальную волатильность на валютном рынке. Заразив внутреннюю сеть банка, преступники получили доступ к биржевому терминалу и провели серию операций, повлекшую скачок курса доллара по отношению к рублю почти на 20%.

Подробнее
#Вредоносное ПО

Buhtrap

Образец успешной переориентации группы, занимавшей лидирующие позиции по объему хищений у юридических лиц. С августа 2015 по февраль 2016 совершила 13 успешных атак на российские банки, 1,8 миллиарда рублей ($25 млн). В двух случаях сумма хищений в 2,5 раза превзошла уставной капитал банка.

Подробнее
#DDoS-атаки

Lazarus

Хакеры из северокорейской группы Lazarus долгие годы шпионили за идеологическими врагами режима — госучреждениями и частными корпорациями США и Южной Кореи. Теперь Lazarus атакует банки и финансовые учреждения по всему миру. Самая масштабная из атак — попытка украсть в феврале 2016 года почти $1 млрд из центрального банка Бангладеш.

Подробнее
#Целевые атаки на банки

Cobalt

Группа успешно атаковала банки по всему миру — России, Великобритании, Нидерландах, Испании, Румынии, Белоруссии, Польши, Эстонии, Болгарии, Грузии, Молдавии, Киргизии, Армении, Тайване и Малайзии. Специализируются на бесконтактных (логических) атаках на банкоматы. Кроме систем управления банкоматами, киберпреступники стараются получить доступ к системам межбанковских переводов (SWIFT), платежным шлюзам и карточному процессингу.

Подробнее
#Целевые атаки на банки

Группа Hodprot

Одна из старейших российских киберпреступных групп, ответственная за хищение около 125 млн. рублей со счетов клиентов российских банков. Для конспирации злоумышленники использовали серверы управления, расположенные в Голландии, Германии, Франции и США.

Подробнее
#Целевые атаки на банки

Anunak / Carbanak

Совершила первые успешные целевые атаки на банки в России. Самая опытная группа, в 2013-2014 году атаковавшая более 50 российских банков и 5 платежных систем, похитив в общей сложности более 1 млрд рублей (около $25 млн). Также атаковала POS-терминалы американских и европейских ритейл-сетей. Активно вовлекала новых людей в атаки и делилась опытом. Имеет целый ряд последователей, копирующих их тактику.

Подробнее
#Бот-сети, #Хищения у юрлиц

Germes

Крупнейшая в России бот-сеть, объединившая 4,5 млн. зараженных компьютеров. Объем хищений, организованных с помощью бот-сети, оценивается более чем в 150 млн. рублей.

Подробнее
#Бот-сети, #Хищения у юрлиц

Hameleon

Первая в России бот-сеть, предназначенная для хищения денег с банковских счетов физических лиц. Преступники осуществляли атаки на клиентов банков с использованием поддельных SIM-карт.

Подробнее
#DDoS-атаки

PumpWaterReboot

Хакер, стоящий за DDoS-атаками на «Тинькофф. Кредитные Системы», «Альфа-Банк», «Промсвязьбанк», «Лабораторию Касперского» и крупные интернет-порталы. Вымогал деньги за прекращение атак.

Подробнее
#Вредоносное ПО

Paunch (Blackhole)

Автор платформ для незаметного распространения вредоносных программ. С использованием его продуктов в сети Интернет проходило до 40% заражений по всему миру.

Подробнее
#Android-трояны

Waplook

Первое в России задержание участников преступной группы, использующей вредоносные программы для мобильных телефонов для хищений денежных средств у физических лиц.

Подробнее
Показать больше
#Android-трояны

CRON


Чем известны:

Похищали деньги с банковских счетов пользователей смартфонов с ОС Android. Ежедневно заражали 3 500 телефонов и меньше чем за год установили его почти на 1 млн устройств. Общий ущерб от действий Cron оценивается, как минимум, в 50 млн рублей.

Статус:

Ликвидирована. В ноябре 2016 года в 6 регионах России задержаны 16 участников Cron. Последний активный участник группы был задержан в апреле 2017 года в Санкт-Петербурге.

Видео ареста:
 

Подробнее в нашем блоге

#Вредоносное ПО

Carberp


Чем известны:

Самая большая в России организованная преступная группа, похитившая более $250 млн. со счетов клиентов российских банков. Заразила своим вредоносным ПО более 1,5 млн. компьютеров.

Статус:

Ликвидирована. Первый в российской правоохранительной практике случай задержания всех фигурантов группы. Организаторы группы осуждены на сроки от 5 до 7 лет.

Видео ареста:
 

Читать в медиа-центре

#Кражи с банковских счетов

Братья Попелыши


Чем известны:

Первые атаки на клиентов банков братья Попелыши вместе с калининградским хакером Александром Сарбиным совершили в 2010 году. Только за период с сентября по декабрь 2010 года Сарбин и Попелыши похитили у 16 клиентов около 2 млн рублей, а к февралю 2011 года жертвами фишеров стали 170 клиентов российских банков из 46 регионов страны; преступники вывели около 13 миллионов рублей. Весной 2011 года Попелышей и Сарбина задержали, однако злоумышленники отделались мягким приговором. Оказавшись на свободе, братья с размахом взялись за старое: они взяли на вооружение новые вредоносные программы. В период с марта 2013 по май 2015 года группировка Попелышей получила доступ к более чем 7 000 счетов клиентов различных российских банков, похитив более 12,5 млн рублей.

Статус:

Попелышей снова задержали в мае 2015 года в ходе совместной спецоперации МВД и ФСБ в Петербурге. В 2018 году преступники были осуждены — Евгений и Дмитрий Попелыши получили по 8 лет лишения свободы, их сообщники — от 4 до 6 лет заключения.

Видео ареста:
 

Подробнее в нашем блоге

#Android-трояны

«Киберфашисты»


Чем известны:

Хакерская группа заразила около 340 тысяч устройств на базе ОС Android для совершения хищений с банковских счетов. Злоумышленники распространяли вредоносное ПО через смс-сообщения, содержащие ссылку на скачивание программы, замаскированной под Adobe Flash Player. Свою программу они назвали «5 рейх», а в системе управления использовали нацистскую символику.

Статус:

Четверо подозреваемых были задержаны управлением «К» МВД России при активном содействии экспертов Group-IB и службы безопасности Сбербанка.

Видео ареста:
 

Читать подробнее

#DDoS-атаки

Dragon


Чем известны:

26-летний хакер осуществлял заказные DDoS-атаки, используя бот-сеть Dragon. Одной из его жертв стала крупная финансовая корпорация, владеющая несколькими банками. С момента обращения в Group-IB до момента задержания злоумышленника прошли рекордно короткие сроки — вся работа была выполнена в течение месяца.

Статус:

Злоумышленник был приговорен к двум годам лишения свободы условно.

Видео ареста:
 

Читать в медиа-центре

#Атаки на Android

Мобильная бот-сеть


Чем известны:

В конце 2013 года службой безопасности Сбербанка России была зафиксирована масштабная кибератака на владельцев смартфонов на базе ОС Android. Злоумышленники заражали их вредоносным программным обеспечением через массовую рассылку MMS-сообщений с обещанием «романтического подарка»: переход по ссылке приводил к загрузке вируса.

Статус:

Преступники были задержаны управлением «К» МВД России при активном содействии экспертов Group-IB и Сбербанка.

Видео ареста:
 

Читать в медиа-центре

#Вымогательство #DDoS

Украинские DDoS-хакеры


Чем известны:

Украинская хакерская группа занималась вымогательством и проводила DDoS-атаки на интернет-компании в течение 2-х лет. В сентябре 2015 г. международный сервис онлайн-знакомств AnastasiaDate столкнулся с мощными повторяющимися DDoS-атаками. Они вызвали многочасовые перебои в работе и отказ в обслуживании сайта компании. Вымогатели потребовали вознаграждение в размере 10 000 долларов США за прекращение нападений на ресурс.

В ходе расследования Group-IB выяснилось, что указанный ресурс был не единственной жертвой вымогателей. Атакам подвергались интернет-магазины, сайты букмекерских фирм, лотерейных и игровых компаний. Средняя сумма требуемого выкупа варьировалась от 1 до 10 тысяч долларов. Большинство жертв предпочли выплатить выкуп и не обращались в правоохранительные органы.

Статус:

В ходе следствия оба обвиняемых признали свою вину, и суд приговорил каждого к 5 годам лишения свободы (условно).

Подробнее в медиа-центре

#Атаки на ритейл

Взлом онлайн аккаунтов


Чем известны:

Злоумышленники взломали 700 тыс. аккаунтов участников программ лояльности популярных интернет-магазинов, платежных систем и букмекерских компаний. Если взлом удавался, злоумышленники проверяли сумму накопленных бонусов и продавали скомпрометированные учетные записи на хакерских форумах по цене от 5$ за аккаунт. В дальнейшем «покупатели» использовали их для оплаты товара бонусами. Также они предлагали услуги по «угону аккаунтов» — смене телефонного номера и электронной почты на учетных записях интернет-магазина.

Статус:

Преступники были задержаны и дали признательные показания. Ведется следствие.

Подробнее в медиа-центре

#Фейковые мобильные приложения

Вредоносное мобильное ПО


Чем известны:

Хакер похищал средства у клиентов российских банков при помощи Android-трояна. Ежедневно у пользователей похищали от 100 000 до 500 000 рублей, часть украденных денег переводилась в криптовалюту для дальнейшего обналичивания и сокрытия своей деятельности. Банковский троян был замаскирован под «агрегатор» систем мобильного банкинга ведущих банков страны. Клиенты банков скачивали приложение и вводили данные своих карт. Запущенный троян отправлял данные банковских карт или логины\пароли для входа в интернет-банкинг на сервер злоумышленникам. После этого злоумышленник переводил деньги на заранее подготовленные банковские счета суммами от 12 до 30 тысяч рублей за один перевод, вводя SMS-код подтверждения операции, перехваченный с телефона жертвы. Сами пользователи не подозревали, что стали жертвами киберпреступников — все SMS-подтверждения транзакций блокировались.

Статус:

Подозреваемый дал признательные показания. Ведется следствие.

Подробнее в медиа-центре

#Целевые атаки на банки

Corkow


Чем известны:

В феврале 2015 совершила первую в мировой практике атаку на брокера, вызвавшую аномальную волатильность на валютном рынке. Заразив внутреннюю сеть банка, преступники получили доступ к биржевому терминалу и провели серию операций, повлекшую скачок курса доллара по отношению к рублю почти на 20%.

Статус:

Не активна.

#Разработка вредоносного ПО

Buhtrap


Чем известны:

Образец успешной переориентации группы, занимавшей лидирующие позиции по объему хищений у юридических лиц. С августа 2015 по февраль 2016 совершила 13 успешных атак на российские банки, 1,8 миллиарда рублей ($25 млн). В двух случаях сумма хищений в 2,5 раза превзошла уставной капитал банка.

Статус:

Приостановила атаки на банки, продолжаются хищения у юридических лиц с помощью бот-сети, проданной другим атакующим.

Скачать отчет Group-IB

#DDoS-атаки

Lazarus


Чем известны:

Хакеры из северокорейской группы Lazarus долгие годы шпионили за идеологическими врагами режима — госучреждениями и частными корпорациями США и Южной Кореи. Теперь Lazarus атакует банки и финансовые учреждения по всему миру. Самая масштабная из атак — попытка украсть в феврале 2016 года почти $1 млрд из центрального банка Бангладеш. Тогда хакеры воспользовались уязвимостью в системе безопасности банка, чтобы внедрится в сеть и получить доступ к компьютерам, подключенным к SWIFT. Но из-за ошибки в платежном документе хакерам удалось вывести только $81 млн.

Статус:

Активна.

Скачать отчет Group-IB

#Целевые атаки на банки

Cobalt


Чем известны:

Группа Cobalt успешно атаковала банки по всему миру — России, Великобритании, Нидерландах, Испании, Румынии, Белоруссии, Польши, Эстонии, Болгарии, Грузии, Молдавии, Киргизии, Армении, Тайване и Малайзии. Специализируются на бесконтактных (логических) атаках на банкоматы. Кроме систем управления банкоматами, киберпреступники стараются получить доступ к системам межбанковских переводов (SWIFT), платежным шлюзам и карточному процессингу.

Статус:

Задержание 5 «мулов», связанных с группой Cobalt, не отразилось на активности группы. Угроза новых атак по-прежнему актуальна.

Подробнее в нашем блоге

#Целевые атаки на банки

Группа Hodprot


Чем известны:

Одна из старейших российских киберпреступных групп, ответственная за хищение около 125 млн. рублей со счетов клиентов российских банков. Для конспирации злоумышленники использовали серверы управления, расположенные в Голландии, Германии, Франции и США.

Статус:

Задержаны все участники преступной группы. Возбуждено уголовное дело.

#Целевые атаки на банки

Anunak / Carbanak


Чем известны:

Совершила первые успешные целевые атаки на банки в России. Самая опытная группа, в 2013-2014 году атаковавшая более 50 российских банков и 5 платежных систем, похитив в общей сложности более 1 млрд рублей (около $25 млн). Также атаковала POS-терминалы американских и европейских ритейл-сетей. Активно вовлекала новых людей в атаки и делилась опытом. Имеет целый ряд последователей, копирующих их тактику.

Статус:

Начиная с 2015 года не совершила ни одного успешного хищения на территории России, но их троян еще используется для атак на компании за пределами СНГ.

Скачать отчет Group-IB

#Бот сети

Germes


Чем известны:

Крупнейшая в России бот-сеть, объединившая 4,5 млн. зараженных компьютеров. Объем хищений, организованных с помощью бот-сети, оценивается более чем в 150 млн. рублей.

Статус:

Организатор преступной группы, действовавшей на территории нескольких стран, арестован.

#Бот сети

Группа Hameleon


Чем известны:

Первая в России бот-сеть, предназначенная для хищения денег с банковских счетов физических лиц. Преступники осуществляли атаки на клиентов банков с использованием поддельных SIM-карт.

Статус:

Организатор преступной группы арестован, предотвращено хищений на сумму более 1 млрд рублей.

#DDoS-атаки

PumpWaterReboot


Чем известны:

Создатель бот-сети для организации заказных DDoS-атак. Жертвами группы стали несколько британских и российских компаний, в том числе один из ТОП-10 крупнейших российских банков.

Статус:

Организатор преступной группы задержан.

#Разработка вредоносного ПО

Paunch (Blackhole)


Чем известны:

Автор платформ для незаметного распространения вредоносных программ. С использованием его продуктов в сети Интернет проходило до 40% заражений по всему миру.

Статус:

Организатор преступной группы задержан, возбуждено уголовное дело по ст. 210 (ч. 1 и 2) УК РФ. 12 апреля 2016 года был приговорен к 7 годам лишения свободы в колонии общего режима.

#Android-трояны

Waplook


Чем известны:

Первое в России задержание участников преступной группы, использующей вредоносные программы для мобильных телефонов для хищений денежных средств у физических лиц.

Статус:

Ведется следствие.

#Вымогательство

«Киберзащитники»


Чем известны:

Взламывали личные кабинеты клиентов банков, интернет-магазинов, страховых компаний, а потом направляли в компанию-жертву письмо, выдавая себя за White Hat — экспертов по кибербезопасности, требуя «вознаграждение» от 40 000 до 250 000 рублей. Продавали полученные данные для доступа к аккаунтам на хакерских форумах.

Статус:

В ходе расследования, проведенного МВД совместно с Group-IB и Почта Банком летом 2018 года были задержаны двое участников преступной группы — автор письма и организатор схемы. Ведется следствие.

Читать в медиа-центре

Свяжитесь с нами, чтобы найти и привлечь злоумышленника к ответственностиЗаказать расследование

Свяжитесь с нами, чтобы найти и привлечь злоумышленника к ответственности

Отправляя форму, даю согласие на обработку своих персональных данных в соответствии с Федеральным законом «О персональных данных» от 27.07.2006 №152‑ФЗ
Спасибо! Мы свяжемся с вами в ближайшее время.

Сообщить об инциденте

Центр круглосуточного реагирования на инциденты
информационной безопасности +7 495 984-33-64

Отправляя форму, даю согласие на обработку своих персональных данных в соответствии с Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ
Спасибо, мы свяжемся с Вами
в самое ближайшее время.