Связаться с нами

Круглосуточная линия+7 495 984-33-64Электронная почтаАдрес офисаМосква, Шарикоподшипниковская, 1, БЦ «Прогресс Плаза», 9 этаж

Расследования высокотехнологичных преступлений

Расследование высокотехнологичных преступлений – старейшее направление деятельности Group-IB. На нашем счету – первые и самые крупные в России расследования хищений через системы интернет-банкинга, дела против организаторов и исполнителей DDoS-атак, разоблачения глобальных преступных групп.
Мы создали крупнейшую в Восточной Европе Лабораторию компьютерной криминалистики, результаты экспертиз которой востребованы как в российских, так и в зарубежных судах. Тандем криминалистов и опытных экспертов Отдела расследований обеспечивает оперативное установление личностей злоумышленников и безупречность доказательной базы.
1000+успешных расследований по всему миру, из них
150 особо сложных дел
80%резонансных высокотехнологичных преступлений в России расследуется с нашим участием
3,3 млрд. ₽ возвращено потерпевшей компании по результатам одного из наших расследований
1-ев России расследование DDoS‑атаки провели специалисты Group-IB в 2009 году

Отдел расследований

Любое противозаконное действие, орудием подготовки, совершения или сокрытия которого был компьютер или носители цифровой информации, может быть расследовано нашими специалистами.

Мы реконструируем механику инцидента, выстраиваем последовательность связей, корреляций, выводов и собираем цифровые доказательства, которые приводят к исполнителям и заказчикам преступления и позволяют привлечь их к ответственности.

Основная задача расследования — довести дело до оперативно-розыскных мероприятий и сделать так, чтобы они были успешны, — например, консультируя полицию. При необходимости мы сопровождаем дело до вынесения приговора, помогая адвокатам, следователям, прокурору и давая показания в суде.

Под каждое расследование собирается проектная команда из экспертов необходимого профиля. Поиском и интерпретацией собранных улик занимаются опытные специалисты в области:

  • финансовых расследований
  • бухгалтерского учета и финансового аудита
  • экономической безопасности
  • E-Discovery и Forensic
  • Compliance
  • корпоративного и гражданского права


Мы понимаем всю цепочку действий злоумышленников: от вербовки инсайдеров и разработки программ для взлома – до вывода и обналичивания денежных средств, что при своевременном обращении позволяет пресечь ее до завершения преступной операции.

Данные киберразведки Threat Intelligence, сеть ловушек HoneyNet, собственные аналитические инструменты позволяют видеть инцидент в контексте, недоступном нашим конкурентам.

Тесные связи с организациями, занимающимися расследованиями в других странах, дают возможность находить преступников, где бы они ни скрывались.

Наши клиенты могут рассчитывать не только на квалифицированное расследование, но и на оперативную помощь: Центр реагирования
CERT-GIB поможет справиться с последствиями инцидента, а Отдел аудита – предотвратить его повторение в будущем.

Мы расследуем

Целевые атаки

DDoS-атаки

Несанкционированный доступ

Финансовые преступления

Присвоение активов и интеллектуальной собственности, подделка продукции и т.п.

Корпоративные преступления

Шпионаж, рейдерство, разглашение коммерческой тайны и другие злоупотребления

Хищения и мошенничества

Кража денежных средств, незаконное использование бренда и т.п.

Лаборатория компьютерной криминалистики
и исследования вредоносного кода

Лаборатория Group-IB занимается сбором и оформлением цифровых доказательств более 10 лет. Мы знаем, что и как искать на любых типах носителей, даже если данные были удалены, скрыты и зашифрованы.

Для поиска и изъятия доказательств мы используем самое современное оборудование и программное обеспечение, признанные зарубежные и передовые отечественные продукты по компьютерной форензике.

При выезде на место инцидента и проведения оперативно-розыскных мероприятий мы используем мобильные криминалистические комплексы, которые позволяют изымать сведения без нарушения целостности (что сохраняет носитель информации в доказательной базе) и проводить их экспресс-исследования на месте.

Помимо самой информации для криминалиста важна хронология ее создания, доступа к ней и ее использования. Мы обладаем собственными разработками, которые позволяют посекундно восстановить цепочку действий злоумышленника и обнаружить не детектируемые антивирусами вредоносные файлы.

Исследованием последних занимается специальное подразделение вирусной аналитики, задача которого – установить и зафиксировать следы, ведущие к разработчикам и операторам атаки.

Параллельная работа криминалистов и вирусных аналитиков обеспечивает быстрое, полное и, самое главное, качественное производство исследования.

Высокое качество экспертиз Лаборатории заслужило доверие не только корпоративных клиентов, но и госструктур.

Мы не раз помогали подразделениям полиции по борьбе с экономическими преступлениями и подразделениям ФСКН находить преступников по цифровым следам.

Мы имеем лицензию ФСБ на работу со сведениями, составляющими государственную тайну.

Лаборатория Group-IB – единственная в России, в которой специалисты имеют сертификаты GIAC по Digital Forensics и Malware Analysis. Результаты наших экспертиз гарантированно принимаются в качестве доказательств не только в российских, но и в иностранных судах.

Наши услуги

Аутсорсинг и независимая экспертиза

Резонансные международные расследования Group-IB

Расследования проводились в тесном сотрудничестве с ФСБ и МВД России, Интерполом,
международными правоохранительными органами.

 

Lazarus
#DDoS-атаки
#шпионаж
#целевые атаки на банки
#разработка вредоносного ПО
Чем известна: хакеры из северокорейской группы Lazarus долгие годы шпионили за идеологическими врагами режима — госучреждениями и частными корпорациями США и Южной Кореи. Теперь Lazarus атакует банки и финансовые учреждения по всему миру. Самая масштабная из атак — попытка украсть в феврале 2016 года почти $1 млрд из центрального банка Бангладеш. Тогда хакеры воспользовались уязвимостью в системе безопасности банка, чтобы внедрится в сеть и получить доступ к компьютерам, подключенным к SWIFT. Но из-за ошибки в платежном документе хакерам удалось вывести только $81 млн.
Статус: активна.
Скачать отчет Group-IB
Cobalt
#целевые атаки на банки
Чем известна: группа Cobalt успешно атаковала банки по всему миру — России, Великобритании, Нидерландах, Испании, Румынии, Белоруссии, Польши, Эстонии, Болгарии, Грузии, Молдавии, Киргизии, Армении, Тайване и Малайзии. Специализируются на бесконтактных (логических) атаках на банкоматы. Кроме систем управления банкоматами, киберпреступники стараются получить доступ к системам межбанковских переводов (SWIFT), платежным шлюзам и карточному процессингу.
Статус: Задержание 5 «мулов», связанных с группой Cobalt, не отразилось на активности группы. Угроза новых атак по-прежнему актуальна.
Скачать отчет Group-IB
Cron
#хищения у физлиц с Android-троянами
Чем известна: Похищали деньги с банковских счетов пользователей. Ежедневно заражали 3 500 телефонов с ОС Android и меньше чем за год установили его почти на 1 млн устройств. Общий ущерб от действий Cron оценивается, как минимум, в 50 млн рублей. В 2016 году Cron взял в аренду банковский мобильный троян «Tiny.z» — более универсальную вредоносную программу под Android, нацеленную на клиентов не только российских, но иностранных банков.
Статус: Ликвидирована. В ноябре 2016 года, в 6 регионах России задержаны 16 участников Cron. Последний активный участник группы был задержан в начале апреля в Санкт-Петербурге.
 
Подробнее в блоге
Corkow
#хищения у физлиц
#хищения у юрлиц
#целевые атаки на банки
Чем известна: в феврале 2015 совершила первую в мировой практике атаку на брокера, вызвавшую аномальную волатильность на валютном рынке. Заразив внутреннюю сеть банка, преступники получили доступ к биржевому терминалу и провели серию операций, повлекшую скачок курса доллара по отношению к рублю почти на 20%.
Статус: не активна.
Buhtrap
#хищения у юрлиц
#целевые атаки на банки
#разработка вредоносного ПО
Чем известна: образец успешной переориентации группы, занимавшей лидирующие позиции по объему хищений у юридических лиц. С августа 2015 по февраль 2016 совершила 13 успешных атак на российские банки, 1,8 миллиарда рублей ($25 млн). В двух случаях сумма хищений в 2,5 раза превзошла уставной капитал банка.
Статус: приостановила атаки на банки, продолжаются хищения у юридических лиц с помощью бот-сети, проданной другим атакующим.


 
Скачать отчет Group-IB
«Киберфашисты»
#хищения у физлиц
#хищения у юрлиц
Чем известны: Совершали хищений с использованием СМС-банкинга, создавали фишинговые страницы для хищений данных пластиковых карт, логинов и паролей от интернет-банкинга. Обладая логином, паролем, а также доступом ко всем СМС, в том числе, от банков с СМС-кодами, злоумышленник мог успешно совершать банковские переводы. Свою программу назвали «5 рейх», а в системе управления использовали нацистскую символику.
Статус: задержаны 4 человека. Возбуждено уголовное дело.
Carberp
#хищения у физлиц
#хищения у юрлиц
#разработка вредоносного ПО
Чем известна: самая большая в России организованная преступная группа, похитившая более $250 млн. со счетов клиентов российских банков. Заразила своим вредоносным ПО более 1,5 млн. машин.
Статус: ликвидирована. Первый в российской правоохранительной практике случай задержания всех фигурантов группы. Организаторы группы осуждены на сроки 5 и 7 лет.
Группа Hodprot
#хищения у физлиц
#хищения у юрлиц
Чем известна: одна из старейших российских киберпреступных групп, ответственная за хищение около 125 млн. рублей со счетов клиентов российских банков. Для конспирации злоумышленники использовали серверы управления, расположенные в Голландии, Германии, Франции и США.
Статус: задержаны все участники преступной группы. Возбуждено уголовное дело.
Anunak
#целевые атаки на банки
#хищения у физлиц
#хищения у юрлиц
Чем известна: совершила первые успешные целевые атаки на банки в России. Самая опытная группа, в 2013-2014 году атаковавшая более 50 российских банков и 5 платежных систем, похитив в общей сложности более 1 млрд рублей (около $25 млн). Также атаковала POS-терминалы американских и европейских ритейл-сетей. Активно вовлекала новых людей в атаки и делилась опытом. Имеет целый ряд последователей, копирующих их тактику.
Статус: Начиная с 2015 года не совершила ни одного успешного хищения на территории России, но их троян еще используется для атак на компании за пределами СНГ.
 
Скачать отчет Group-IB
Germes
#хищения у физлиц
#хищения у юрлиц
Чем известна: крупнейшая в России бот-сеть, объединившая 4,5 млн. зараженных компьютеров. Объем хищений, организованных с помощью бот-сети, оценивается более чем в 150 млн. рублей.
Статус: организатор преступной группы, действовавшей на территории нескольких стран, арестован.
Группа Hameleon
#хищения у физлиц
Чем известна: первая в России бот-сеть, предназначенная для хищения денег с банковских счетов физических лиц. Преступники осуществляли атаки на клиентов банков с использованием поддельных SIM-карт.
Статус: организатор преступной группы арестован, предотвращено хищений на сумму более 1 млрд. рублей.
Dragon
#DDoS-атаки
#вымогательство
Чем известна: создатель бот-сети для организации заказных DDoS-атак. Жертвами группы стали несколько британских и российских компаний, в том числе один из ТОП-10 крупнейших российских банков.
Статус: организатор преступной группы задержан.
PumpWaterReboot
#DDoS-атаки
#вымогательство
Чем известен: хакер, стоящий за DDoS-атаками на «Тинькофф. Кредитные Системы», «Альфа-Банк», «Промсвязьбанк», «Лабораторию Касперского» и крупные интернет-порталы. Вымогал деньги за прекращение атак.
Статус: признан виновным по статьям 163 и 273 УК РФ.
Paunch (BlackHole)
#хищения у физлиц
#хищения у юрлиц
#разработка вредоносного ПО
Чем известен: автор платформ для незаметного распространения вредоносных программ. С использованием его продуктов в сети Интернет проходило до 40% заражений по всему миру.
Статус: организатор преступной группы задержан, возбуждено уголовное дело по ст. 210 (ч. 1 и 2) УК РФ. 12 апреля 2016 года был приговорен к 7 годам лишения свободы в колонии общего режима.
Waplook
#хищения у физлиц с Android-троянами
Чем известна: первое в России задержание участников преступной группы, использующей вредоносные программы для мобильных телефонов для хищений денежных средств у физических лиц.
Статус: Ведется следствие.
Братья Попелыши
#хищения у физлиц
#хищения у юрлиц
Чем известна: в 2010 году группе братьев Попелышей удалось снять 13 млн рублей со счетов более 170 клиентов банков из 46 регионов страны. Злоумышленников задержали, но приговор суда оказался не связан с лишением свободы. Даже пока шло расследование и судебный процесс братья снова грабили клиентов банка — в общей сложности они получили доступ более чем к 7000 счетов, похитив более 11 млн рублей.
Статус: Попелышей снова задержали в мае 2015 года в ходе совместной спецоперации МВД и ФСБ в Петербурге. Ожидается вынесение приговора.

Сообщить об инциденте

 

captcha
Отправляя форму, даю согласие на обработку своих персональных данных в соответствии с Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ
Спасибо, мы свяжемся с Вами
в самое ближайшее время.