✅Компании «Аладдин Р.Д.», ведущий российский разработчик и поставщик решений для обеспечения информационной безопасности, и Group-IB, международная компания, специализирующаяся на предотвращении кибератак, объявляют о выходе совместного решения «JC-WebClient & Secure Bank», созданного для выявления угроз, невидимых для традиционных антифрод-систем. Основными задачами решения являются минимизация сомнительных операций в системах дистанционного банковского обслуживания (ДБО), а также помощь финансовым организациям в соблюдении требований и рекомендаций ЦБ по противодействию хищениям денежных средств.💪
👉В отличие от классических антифрод-решений, Secure Bank выявляет и останавливает подозрительную активность в мобильном банковском приложении или системе интернет-банкинга задолго до осуществления мошенничества, выявляя попытки воспользоваться украденными учётными данными или воспроизвести действия легитимного пользователя. Secure Bank «видит» любые отклонения от типичной операции за счёт анализа технических параметров устройства («цифрового отпечатка») и поведения пользователя, позволяющего создать «цифровой портрет» легитимного клиента банка, учитывающий такие параметры как движения мышкой, скорость печати, положение телефона в руке, усилие и пятно нажатия на тачскрин, характеристики «свайпов» и многое другое.
👉Приложение JC-WebClient устанавливается на ПК пользователя и собирает данные об устройстве, в то время как Group-IB Secure Bank работает на стороне банка и идентифицирует устройства клиентов банка в онлайн- и мобильном каналах, анализирует поведение пользователей и выявляет наличие веб-инъекций, вредоносного ПО и несанкционированного доступа на смартфонах, планшетах, ПК, позволяя предотвратить попытки онлайн-мошенничества с учётом полученной информации от JC-WebClient.

#Росбанк #Сотрудничество #SecureBank

✅Росбанк, входящий в международную финансовую группу Société Générale, и Group-IB объявляют о стратегическом сотрудничестве в сфере кибербезопасности.
Целью сотрудничества является дальнейшее совершенствование антифрод-контура Росбанка на фоне роста мошенничества, связанного с социальной инженерией, в отношении клиентов банков.🤝

📌В 2019 завершились пилотные испытания технологии Group-IB Secure Bank, и решение было внедрено в промышленную эксплуатацию для защиты клиентов Росбанка – как физических, так и юридических лиц.

👉«Secure Bank показал высокую скорость и качество выявления подозрительной активности в каналах ДБО на ранней стадии. Это позволило нам снизить нагрузку на транзакционные системы антифрода, а главное, – значительно расширить возможности для анализа и предотвращения потенциальных атак», — комментирует Михаил Иванов, директор департамента информационной безопасности Росбанка.

#Приговор #AntiPiracy

Эту новость мы давно ждали. Красногорский городской суд Московской области вынес обвинительный приговор — 2 года условно — владельцу пиратских онлайн-кинотеатров, обвиняемому по ч.3 статьи 146 УК РФ («Нарушение авторских и смежных прав»). Для России - это прецедент!
👉Что случилось?
Еще в 2018 году специалисты направления Group-IB Anti-Piracy обнаружили крупную сеть пиратских онлайн-кинотеатров, состоявшую из ресурсов kinogb.guru, kinokot.biz и fosa.me, а также десятка их «зеркал», среди которых kinogb.site, kinogb.me, kinogb.life , kinogb.cc , kinogb.mobi, kinokot.me, kinogb.tv. Пиратская библиотека каждого сайта насчитывала более 10 000 наименований: здесь были выложены последние киноновинки и другие популярные фильмы и сериалы. «Пират» получал контент от одного из крупнейших пиратских CDN (Content Distribution Network, сеть доставки контента) — Moonwalk (прекратил работу в октябре 2019 года). Рекламодателями его пиратских сайтов по традиции являлись онлайн-казино — 1xbet и Azino777, которые также через CDN-провайдеров поставляли готовый контент с уже вшитым в видеоряд рекламным блоком. Специалисты отдела расследования Group-IB смогли довольно быстро выйти на след пирата, полиция его задержала, дело отправили в суд.
👉Почему это важно?
"Этим кейсом создан важный прецедент привлечения владельцев пиратских ресурсов к уголовной ответственности, — говорит Андрей Бусаргин, руководитель департамента инновационной защиты интеллектуальной собственности Group-IB. — На пиратов работают организованные преступные группы: одни снимают видео в кинотеатрах, другие делают перевод, третьи озвучивают картину, четвертые адаптируют и выкладывают „пиратки“ в сеть. Только уголовное преследование в сочетании с ужесточением антипиратского законодательства может привести к тому, что количество желающих заняться этим противозаконным бизнесом уменьшится".

www.group-ib.ru
Group-IB: впервые в России осужден владелец пиратской сети онлайн-кинотеатров
Group-IB – одна из ведущих международных компаний по предотвращению и расследованию

#Приговор #AntiPiracy #Бусаргин

🎥 В этом видео Андрей Бусаргин, руководитель департамента инновационной защиты интеллектуальной собственности Group-IB, рассказывает, почему вчерашний приговор владельцу пиратских онлайн-кинотеатров так важен для киноиндустрии. https://www.youtube.com/watch?v=UlpDjELqvDY&feature=youtu.be

👉Этой статьей мы завершаем цикл публикаций, посвященных анализу вредоносного программного обеспечения. Илья Померанцев, специалист по анализу вредоносного кода CERT Group-IB, расскажет о первом этапе анализа ВПО — полуавтоматической распаковке сэмплов AgentTesla на примере трех мини-кейсов из практики специалистов CERT Group-IB. Если вы хотите сами еще раз изучить, как проводится распаковка сэмплов AgentTesla, и увидеть, как это делает специалист CERT Group-IB, можете скачать запись вебинара по этой теме здесь.

#алкоголь #онлайн_торговля
🍹Group-IB оценила оборот «теневого» рынка продажи алкоголя в Интернете в 2019 году в 2,5 млрд. руб. Это почти на 400 млн рублей (+19%) больше, чем в 2018 году. В общей сложности эксперты направления Group-IB Brand Protection обнаружили около 2 500 интернет-сайтов, аккаунтов или групп в соцсетях, торгующих спиртным в обход действующего законодательства. Эксперты отмечают, что массовая блокировка Роскомнадзором сайтов с дистанционной продажей алкоголя приводит к «миграции» подпольных продавцов в мессенджеры, мобильные приложения и соцсети.

👉Напомним, что розничная продажа алкоголя дистанционным способом в России запрещена и официальные производители не могут законно распространять алкоголь в онлайне. Эту нишу занимают нелегальные продавцы: в 2018 году оборот «теневого» рынка продажи алкоголя в Интернете составил 2,1 млрд. руб, а в 2017 году — 1, 7 млрд рублей.

#алкоголь #онлайн_торговля
Продажи алкоголя в интернете становятся все более популярными - оборот «теневого» рынка нелегальной торговли стабильно растет третий год подряд. Но, заказывая перед праздниками по заманчивым ценам алкоголь на сайтах, в группах в соцсетях или в мессенджерах, помните, что подобная торговля незаконна и вы можете нарваться на контрафакт или дешевую подделку, предупреждает Андрей Бусаргин, руководитель департамента инновационной защиты интеллектуальной собственности Group-IB.

#Silence #Африка

📌Сбывается наш прогноз — группа Silence продолжает мировую экспансию, увеличивая количество атак за пределами России. В конце 2019 года команда Threat Intelligence Group-IB обнаружила следы атак преступной группы Silence на банки Африки (о том, что там засветилась группа Silence сегодня, кстати, сообщает РБК ).

📌Cначала — небольшое отступление. Еще летом 2019 года специалисты Group-IB зафиксировали атаки на банки Чили, Коста-Рики, Ганы, Болгарии и Бангладеш. Все банки были оперативно уведомлены, но в нескольких случаях жертвы не сумели адекватно отреагировать на угрозу. Именно это и произошло с Dutch-Bangla — банком из Бангладеш. После нескольких краж все же удалось задержать 6-х граждан Украины, нанятых группой Silence для вывода денег. Изучив атаки, наши специалисты пришли к выводу, что для атак использовался новый уникальный инструмент, получивший название EDA и банкоматный троян xfs-disp.exe, ранее использовавшийся группой Silence при атаке на Омский ИТ банк. А первичное заражение осуществляется при помощи инструмента ServHelper backdoor. По некоторым данным первичные атаки осуществлялись другой хакерской группой TA505, которые затем перепродали доступ в интересующие банки хакерам Silence. Но подтвердить причастность к атакам ТА505 на данный момент не представляется возможным.

📌“В ноябре 2019 года система Threat Intelligence Group-IB зафиксировала активность хакерской группы Silence в Сенегале (Африка), где использовались те же самые инструменты, а также новая версия трояна собственной разработки -— XDA. Все взаимодействие между бэкендом и скомпрометированной инфраструктурой должно осуществляться посредством DNS-запросов, — рассказал Рустам Миркасымов, руководитель отдела динамического анализа вредоносного кода Group-IB.— В то же время и ТА505 весьма активно проводит атаки на африканские банки и фин учреждения с конца 2018 года, а их активность в регионе в конце 2019 достигла пика. Все это говорит о том, что Silence будет наращивать свое присутствие в регионе”.

✅Напомним, что в августе 2019 Group-IB опубликовала технический отчет «Silence 2.0: going global», в котором были подробно описаны инструменты xfs-disp.exe и EDA.
По данным Group-IB, Silence явлется одной из 5 хакерских групп, которые представляют сейчас реальную угрозу финансовому сектору (Cobalt, Silence, MoneyTaker — Россия, Lazarus — Северная Корея, SilentCards — новая группа из Кении). В России ущерб от целенаправленных атак на банки со стороны финансово- мотивированных группировок за исследуемый период сократился почти в 14 раз. Это связано в том числе и с тем, что финансово-мотивированные хакерские группы переключили свое внимание с российских банков на иностранные. Наш прогноз неутешителен: русскоязычные группы Silence, MoneyTaker, Cobalt вероятнее всего продолжат географическую экспансию, увеличивая количество атак за пределами России. Для вывода денег они будут использовать атаки на систему карточного процессинга и трояны для банкоматов.

#MONT #Партнерство #Дистрибьютор

✅MONT, один из крупнейших дистрибьюторов программного обеспечения в России и СНГ, и Group-IB объявляют о начале сотрудничества. Новое партнерство нацелено на уход от прямых продаж, расширение географического охвата, а также обеспечение клиентов в странах СНГ оперативной поддержкой на местах.

✔️ Благодаря подписанному соглашению, более 5 000 партнёров MONT получат доступ к продвинутым технологиям обнаружения и предотвращения атак, слежения за киберпреступниками, а также исследования и реагирования на киберугрозы Group-IB.

👉«MONT планомерно расширяет линейку продуктов для обеспечения кибербезопасности, реагируя на изменения на рынке и потребности партнеров. Продукты и решения Group-IB обладают огромным потенциалом, и мы уверены, что наша партнерская сеть по достоинству оценит их функционал и преимущества», — отметил Всеволод Крылов, руководитель дирекции по работе с российскими и иностранными вендорами MONT. Подробности: https://www.group-ib.ru/media/gib-mont/

👉Представьте себе такую ситуацию. Холодное октябрьское утро, проектный институт в областном центре одного из регионов России. Кто-то из отдела кадров заходит на одну из страниц вакансий на сайте института, размещенную пару дней назад, и видит там фотографию кота. Утро быстро перестает быть скучным…🤪Через некоторое время отдел кадров удаляет фото, но оно упорно возвращается, его опять удаляют, и так происходит еще несколько раз. В отделе кадров понимают, что намерения у кота самые серьезные, уходить он не хочет, и призывают на помощь веб-программиста — человека, который делал сайт и разбирается в нем, а сейчас его администрирует. Программист заходит на сайт, еще раз удаляет надоевшего кота, выявляет, что его разместили от имени самого отдела кадров, затем делает предположение, что пароль отдела кадров утек к каким-то сетевым хулиганам, и меняет его. Кот больше не появляется.
👉Что произошло на самом деле? В отношении группы компаний, куда входил институт, специалисты Group-IB проводили тестирование на проникновение в формате близком к Red Teaming (проще говоря, это имитация целевых атак на вашу компанию с использованием самых продвинутых методов и инструментов из арсенала хакерских группировок). В этой статье Павел Супрунюк, технический руководитель департамента аудита и консалтинга Group-IB, рассказывает о том, какое место занимают социотехнические атаки в проектах по оценке практической защищенности, какие необычные формы они могут приобретать, а также о том, как защититься от таких атак.

👉 тот самый кот

#Windows7 #Реплика #Никитин

👉С сегодняшнего дня Microsoft официально прекращает выпуск бесплатных обновлений безопасности для Windows 7 или “семерки” — легендарной операционной системы, выпущенной еще в октябре 2009 года.
👉Пользователи все еще смогут работать на ней, однако, поскольку операционная система перестанет получать обновления, им рано или поздно потребуется переходить на более новые версии — Windows 8.1 или Windows 10. По данным сервиса анализа веб-трафика StatCounter, в декабре прошлого года доля Windows 7 среди операционных систем Microsoft составляла 26,79% в мире, в России — 32,24%.
👉Сергей Никитин, заместитель руководителя Лаборатории компьютерной криминалистики Group-IB, считает, что отсутствие обновлений “семерки” критически опасно в первую очередь не для рядовых пользователей, а для финансовых учреждений и корпораций: “Обычные пользователи достаточно легко могут мигрировать на новые версии ОС, а вот корпоративный сектор, где старые версии операционки часто используют для совместимости встраиваемых устройств, таких как банкоматы, POS-терминалы, кассы, промышленные компьютеры и т.д, столкнется с серьезной проблемой. Для них необходимость обновления ОС критически важна и она повлечет еще обновление железа”.
👉Кроме «семерки» завершена поддержка и её серверных «сестёр» — Windows Server 2008 и Windows Server 2008 R2. Эти серверные операционные системы до сих пор используются в организациях, и часто даже в качестве контроллеров Active Directory. Их необходимо обновить до 2012R2 (окончание поддержки в 2023 году) или сразу до 2016\19 версии (окончание поддержки в 2027 и 2029 годах).
👉 Microsoft продолжит выпускать платные обновления безопасности для Windows 7 и Windows 2008\R2 еще 3 года.

#законопроекты #eSIM
👉 Грядет легализация технологии встроенных SIM-карт (eSIM) — Минкомсвязь РФ по поручению вице-премьера РФ Максима Акимова готовит соответствующие изменения в законодательство. Главным тормозом для внедрения eSIM, как уверяли в ведомстве, являлась безопасность, т.е. легитимная дистанционная идентификация абонентов. Напомним, что технология eSIM позволяет отказаться от традиционной физической сим-карты, вместо этого используя специальный чип в самом устройстве, например, смартфоне или IOT-девайсе.
👉“На самом деле, проблем с безопасностью [для пользователя] нет — их же смогли успешно решить в США, Азии, Европе, — замечает Сергей Никитин, заместитель руководителя Лаборатории компьютерной криминалистики Group-IB. — Другой вопрос, что в России пока нет законодательной базы по этому вопросу, сейчас она прорабатывается. И один из ключевых моментов, где будут размещаться сервера, которые будут использоваться в работе eSIM". По словам Никитина, технология виртуальных карт очень перспективна. На eSIM будет построен весь интернет вещей, количество устройств в котором увеличивается в геометрической прогрессии. «Умные девайсы и промышленное оборудование можно будет выпускать на заводах уже с встроенными SIM-картами, к которым будут подключены отечественные операторы, и пользователь простым нажатием кнопки сможет их менять», — считает Никитин.

#RedTeaming #Аудит
«Красная» команда нападает, «синяя» — защищается. Простые на первый взгляд правила командно-штабных игр перешли в кибербезопасность и используются в рамках проектов по Red Teaming — регулярной имитации целенаправленных атак на организацию с использованием самых близких к реальности методов и инструментов из арсенала хакерских группировок. В информационной безопасности есть множество услуг по проверке уровня защищенности — анализ безопасности систем и приложений, тестирование на проникновение, оценка осведомленности персонала в вопросах ИБ и т.д., — но именно киберучения в формате Red Teaming специалисты по защите информации называют наиболее реалистичным и продвинутым подходом к тестированию безопасности. Почему? Об этом рассказал Андрей Брызгин — руководитель направления аудита и консалтинга Group-IB.

👉Открыт набор на совместный обучающий курс Group-IB и Belkasoft, а также на новый продвинутый курс Belkasoft Incident Response Examination!
📌На базовом курсе «Belkasoft Digital Forensics» практикующий специалист Group-IB познакомит слушателей с Belkasoft Evidence Center, даст общее представление об этом инструменте и об эффективной работе с ним для проведения расследований. Курс стартует уже 27 января.
📌На продвинутом курсе «Belkasoft Incident Response Examination» эксперт Group-IB подробно расскажет, как использовать специальные возможности Belkasoft Evidence Center для проведения сложных криминалистических расследований хакерских атак. Старт курса — 17 февраля.
👍Оба курса будут интересны аналитикам SOC и CERT, компьютерным криминалистам и всем, кто работает в сфере информационной безопасности и информационных технологий.
👉Набор уже открыт. Более подробная информация о курсах и запись доступны по ссылке. Присоединяйтесь!

#минирования #блокировки

✅Одна из топовых сегодняшних новостей — нашли сервис, с которого рассылались фейковые письма о минировании. Им оказался почтовый сервис Startmail.com (Нидерланды), с которого на электронные адреса российских судов в 16 регионах России поступило более одной тысячи анонимных сообщений с угрозами. С 23 января доступ к ресурсам Startmail.com ограничен Роскомнадзором. Есть одно “но”... Блокировка почтовых сервисов — абсолютно неэффективный метод борьбы с террористами. Объясняем почему.

👉"Блокировка домена Startmail.com на территории России означает, что на него не смогут заходить российские пользователи, если они не используют прокси в браузере, — замечает зам руководителя лаборатории компьютерной криминалистики Group-IB Сергей Никитин. — Однако пользователям из других стран ( а были основания считать, что "почтовые минирования" шли из-за рубежа, в том числе из стран СНГ), по-прежнему ничего не мешает свободно пользоваться этим сервисом".

👉Глава CERT Group-IB Александр Калинин также считает, что такая блокировка близка по эффективности к нулю, так как почтовые террористы либо уже применяют средства сокрытия своего местоположения, либо действительно находятся не в России: "Блокировать рассылки без блокировки сервисов можно, с этим многие годы уже достаточно успешно борются разные сервисы защиты от спама. Если эти письма одинаковые или имеют четкие шаблонные признаки - их можно блокировать как внутри самих компаний, так и на уровне почтовых сервисов", - сказал он.

👉Никитин добавил, что бороться с ложными рассылками и звонками можно только изменив законы о реагировании на заведомо неидентифицируемые сообщения. "Действующие законы, принятые много-много лет назад, заставляют правоохранительные органы на любое такое сообщение реагировать эвакуацией огромных зданий ТЦ, школ, вузов и т. д. Современные технологии позволяют без особого труда подменять номера, осуществлять анонимные рассылки и звонки. Бороться с этим необходимо с помощью симметричных технологических мер по идентификации и корректировкой текущего законодательного поля", - отметил он.