#CyberCrimeCon19 #HiTechCrimeTrends
Group-IB выделяет 9 групп (APT10, APT33, MuddyWater, HEXANE, Thrip, Chafer, Winnti, Regin и Lazarus), которые представляли угрозу для телекоммуникационного сектора в период, указанный в нашем отчете. Уходящий год показал, что телеком-отрасль является одной из приоритетных для прогосударственных групп: скомпрометировав оператора, атакующие получают возможность развивать атаки в его клиентах с целью шпионажа или саботажа. Подробнее: https://www.group-ib.ru/media/gib-report-2019-20/
Group-IB выделяет 9 групп (APT10, APT33, MuddyWater, HEXANE, Thrip, Chafer, Winnti, Regin и Lazarus), которые представляли угрозу для телекоммуникационного сектора в период, указанный в нашем отчете. Уходящий год показал, что телеком-отрасль является одной из приоритетных для прогосударственных групп: скомпрометировав оператора, атакующие получают возможность развивать атаки в его клиентах с целью шпионажа или саботажа. Подробнее: https://www.group-ib.ru/media/gib-report-2019-20/
Group-IB
Group-IB представила анализ глобальных угроз стабильности киберпространства | Group-IB
Group-IB, международная компания, специализирующаяся на предотвращении кибератак, проанализировала ключевые изменения, произошедшие на глобальной карте киберугроз. Самой пугающей тенденцией 2019 года эксперты компании считают использование кибероружия в открытых…
#CyberCrimeCon19 #HiTechCrimeTrends
📌Новый отчет Hi-Tech Crime Trends 2019-2020 описывает 7 хакерских групп (LeafMiner, BlackEnergy, Dragonfly, HEXANE, Xenotime, APT33 и Lazarus), специализирующихся на шпионаже, а в отдельных случаях и диверсиях — выводе из строя инфраструктуры или объектов энергетики в разных странах.
📌За последние годы было выявлено только два фреймворка, которые способны влиять на технологические процессы, — Industroyer и Triton (Trisis). Оба они были раскрыты в результате ошибок атакующих, что позволяет сделать вывод о существовании значительно большего количества тщательно маскируемых и еще не обнаруженных угроз.
📌Среди атак, характерных для энергетической отрасли, эксперты Group-IB выделяют supply chain — атаки через поставщиков программного и аппаратного обеспечения. Прежде всего, скомпрометированы будут управляющие компании, а через них пойдет развитие атаки на энергетические объекты. ✅Все подробности в нашем свежем отчете Hi-Tech Crime Trends 2019-2020 - не забудьте его скачать!
📌Новый отчет Hi-Tech Crime Trends 2019-2020 описывает 7 хакерских групп (LeafMiner, BlackEnergy, Dragonfly, HEXANE, Xenotime, APT33 и Lazarus), специализирующихся на шпионаже, а в отдельных случаях и диверсиях — выводе из строя инфраструктуры или объектов энергетики в разных странах.
📌За последние годы было выявлено только два фреймворка, которые способны влиять на технологические процессы, — Industroyer и Triton (Trisis). Оба они были раскрыты в результате ошибок атакующих, что позволяет сделать вывод о существовании значительно большего количества тщательно маскируемых и еще не обнаруженных угроз.
📌Среди атак, характерных для энергетической отрасли, эксперты Group-IB выделяют supply chain — атаки через поставщиков программного и аппаратного обеспечения. Прежде всего, скомпрометированы будут управляющие компании, а через них пойдет развитие атаки на энергетические объекты. ✅Все подробности в нашем свежем отчете Hi-Tech Crime Trends 2019-2020 - не забудьте его скачать!
F.A.C.C.T.
Hi-Tech Crime Trends 2019/2020 | Ежегодный отчет F.A.C.C.T.
Единый источник стратегической информации о киберугрозах и достоверных прогнозов их развития на 2019-2020 годы
# BlackFriday
👉За три дня распродаж "Черной пятницы" россияне потратили в интернет-магазинах 22,3 миллиарда рублей, подсчитали в Ассоциации компаний интернет-торговли. Но не все деньги попали в нужные руки. "В этом году "Черная пятница" традиционно привлекла внимание интернет-мошенников. Они использовали проверенные схемы: продажа контрафакта, распространение сайтов, зараженных вредоносными программами и т.д. О чем это говорит? Если эти схемы повторяются — значит, работают. И мошенникам не нужно придумывать ничего нового, потому что люди попадаются на одном и том же, — рассказал РИА Новости руководитель отдела защиты бренда Group-IB Антон Долгалев. —В одной из схем мы обнаружили, что злоумышленники начали подготовку к будущим акциям — мы видим аффилированные доменные имена, которые должны действовать до 2025 года. https://ria.ru/20191202/1561847457.html
👉За три дня распродаж "Черной пятницы" россияне потратили в интернет-магазинах 22,3 миллиарда рублей, подсчитали в Ассоциации компаний интернет-торговли. Но не все деньги попали в нужные руки. "В этом году "Черная пятница" традиционно привлекла внимание интернет-мошенников. Они использовали проверенные схемы: продажа контрафакта, распространение сайтов, зараженных вредоносными программами и т.д. О чем это говорит? Если эти схемы повторяются — значит, работают. И мошенникам не нужно придумывать ничего нового, потому что люди попадаются на одном и том же, — рассказал РИА Новости руководитель отдела защиты бренда Group-IB Антон Долгалев. —В одной из схем мы обнаружили, что злоумышленники начали подготовку к будущим акциям — мы видим аффилированные доменные имена, которые должны действовать до 2025 года. https://ria.ru/20191202/1561847457.html
РИА Новости
Эксперт рассказал о схемах мошенничества в "Черную пятницу"
Мошенники в рамках акции "Черная пятница" в этом году использовали, в основном, фишинговые сайты, приложения и сайты с вредоносным ПО, а также продавали... РИА Новости, 02.12.2019
#вебинар
✅Открыта регистрация на вебинар Group-IB: «Новые тренды развития мошеннических схем при атаках на бренды».
👉Неправомерное использование названий или логотипов брендов в интернете подрывает репутацию компаний, а в долгосрочной перспективе и уменьшает ее прибыль. На нашем вебинаре мы подробно обсудим:
📌 Мошеннические схемы становятся более запутанными, что усложняет их выявление и пресечение нарушений.
📌 Классический фишинг уступает лидирующие позиции в списке онлайн-угроз бренду.
📌 Злоумышленники применяют новые способы привлечения аудитории на мошеннические ресурсы.
👉Мы видим, как злоумышленники совершенствуют свои инструменты, изобретая все более сложные и запутанные мошеннические схемы, и хотим “вооружить” участников вебинара новыми знаниями, как эффективно противостоять интернет-преступности. 👉Регистрация доступна строго с корпоративной почты по ссылке: http://go.group-ib.com/webinar-new-fraud-trends-registration?utm_source=telegram
✅Открыта регистрация на вебинар Group-IB: «Новые тренды развития мошеннических схем при атаках на бренды».
👉Неправомерное использование названий или логотипов брендов в интернете подрывает репутацию компаний, а в долгосрочной перспективе и уменьшает ее прибыль. На нашем вебинаре мы подробно обсудим:
📌 Мошеннические схемы становятся более запутанными, что усложняет их выявление и пресечение нарушений.
📌 Классический фишинг уступает лидирующие позиции в списке онлайн-угроз бренду.
📌 Злоумышленники применяют новые способы привлечения аудитории на мошеннические ресурсы.
👉Мы видим, как злоумышленники совершенствуют свои инструменты, изобретая все более сложные и запутанные мошеннические схемы, и хотим “вооружить” участников вебинара новыми знаниями, как эффективно противостоять интернет-преступности. 👉Регистрация доступна строго с корпоративной почты по ссылке: http://go.group-ib.com/webinar-new-fraud-trends-registration?utm_source=telegram
Group-Ib
Новые тренды развития мошеннических схем при атаках на бренды | Group-IB Webinar
Неправомерное использование названий или логотипов брендов в интернете подрывает репутацию компаний и в долгосрочной перспективе уменьшает ее прибыль. Как и приверженцы любой сферы деятельности, нацеленной на получение прибыли, злоумышленники совершенствуют…
👉Недавно в Group-IB обратилась европейская компания-производитель электромонтажного оборудования — ее сотрудник получил по почте подозрительное письмо с вредоносным вложением. Илья Померанцев, специалист по анализу вредоносного кода CERT Group-IB, провел детальный анализ этого файла, обнаружил там шпионскую программу AgentTesla и рассказал, чего ждать от подобного ВПО и чем оно опасно. Этим постом мы открываем серию статей о том, как проводить анализ подобных потенциально опасных файлов, а также ждем всех 5 декабря на бесплатный интерактивный вебинар по теме «Анализ вредоносного ПО: разбор реальных кейсов». https://habr.com/ru/company/group-ib/blog/478176/
Хабр
Явка провалена: выводим AgentTesla на чистую воду. Часть 1
Недавно в Group-IB обратилась европейская компания-производитель электромонтажного оборудования — ее сотрудник получил по почте подозрительное письмо с вредонос...
💥От таких новостей волосы встают дыбом, а рука тянется к смартфону. Сегодня расскажем, как злоумышленники могут читать вашу переписку в Telegram. И хотя расследование еще продолжается, мы приняли решение оперативно проинформировать об угрозе команду мессенджера и всех пользователей.
🔻 Что случилось?
1. Отдел расследований киберпреступлений и Лаборатория компьютерной криминалистики Group-IB сообщают о десятке инцидентов, связанных с получением нелегального доступа к содержимому переписки в Telegram.
2. Все пострадавшие — предприниматели.
3. Были атакованы как устройства iOS, так и Android у клиентов разных операторов сотовой связи.
4. Исследованные нами устройства не были заражены шпионской вредоносной программой или банковским трояном, учетные записи не взломаны, подмены SIM-карты произведено не было. Во всех случаях злоумышленники получали доступ к мессенджеру жертвы с помощью СМС-кодов, получаемых при входе в аккаунт с нового устройства.
5. Во всех случаях на устройствах пострадавших единственным фактором аутентификации были СМС. И это плохо, так как ставит под сомнение использование СМС как надежного фактора в системе двухфакторной аутентификации.
6. Опасность в том, что таким образом атакующие могут получить доступ и к другим мессенджерам, социальным сетям, электронной почте, различным сервисам или приложениям мобильного банкинга, где для аутентификации используются только СМС.
🔻Как защититься?
1. В Telegram уже реализованы все необходимые опции кибербезопасности, которые сведут усилия атакующих на нет.
2. На устройствах iOS и Android для Telegram необходимо перейти в настройки Telegram, выбрать вкладку «Конфиденциальность» и назначить «Облачный пароль\Двухшаговую проверку» или «Two step verification». Детальное описание по включению этой опции дано в инструкции на официальном сайте мессенджера: https://telegram.org/blog/sessions-and-2-step-verification
3. Важно не устанавливать адрес электронной почты для восстановления этого пароля, поскольку, как правило, восстановление пароля к электронной почте тоже происходит через СМС. Аналогичным образом можно повысить защиту аккаунта в WhatsApp.
🔻Как происходит атака?
Если кратко: на устройстве пользователя внезапно появляется сообщение от сервисного канала Telegram (это официальный канал мессенджера с синей галочкой верификации) с кодом подтверждения, который пользователь не запрашивал. После этого на смартфон жертвы падает СМС с кодом активации — и практически сразу же в сервисный канал Telegram приходит уведомление о том, что в аккаунт был произведен вход с нового устройства.
Сессию можно и нужно остановить. И если на телефоне не было двухфакторки - срочно установить ее. Но увы за время работы левой сессии - вся переписка и файлы выкачиваются. Делается это скриптом, поэтому все происходит быстро.
🔻Как злодеи получают доступ к смс?
Теоретически возможны такие варианты: атаки на протоколы SS7 или Diameter, нелегальное использование специальных технических средств, инсайд у операторов.
🔻 Что случилось?
1. Отдел расследований киберпреступлений и Лаборатория компьютерной криминалистики Group-IB сообщают о десятке инцидентов, связанных с получением нелегального доступа к содержимому переписки в Telegram.
2. Все пострадавшие — предприниматели.
3. Были атакованы как устройства iOS, так и Android у клиентов разных операторов сотовой связи.
4. Исследованные нами устройства не были заражены шпионской вредоносной программой или банковским трояном, учетные записи не взломаны, подмены SIM-карты произведено не было. Во всех случаях злоумышленники получали доступ к мессенджеру жертвы с помощью СМС-кодов, получаемых при входе в аккаунт с нового устройства.
5. Во всех случаях на устройствах пострадавших единственным фактором аутентификации были СМС. И это плохо, так как ставит под сомнение использование СМС как надежного фактора в системе двухфакторной аутентификации.
6. Опасность в том, что таким образом атакующие могут получить доступ и к другим мессенджерам, социальным сетям, электронной почте, различным сервисам или приложениям мобильного банкинга, где для аутентификации используются только СМС.
🔻Как защититься?
1. В Telegram уже реализованы все необходимые опции кибербезопасности, которые сведут усилия атакующих на нет.
2. На устройствах iOS и Android для Telegram необходимо перейти в настройки Telegram, выбрать вкладку «Конфиденциальность» и назначить «Облачный пароль\Двухшаговую проверку» или «Two step verification». Детальное описание по включению этой опции дано в инструкции на официальном сайте мессенджера: https://telegram.org/blog/sessions-and-2-step-verification
3. Важно не устанавливать адрес электронной почты для восстановления этого пароля, поскольку, как правило, восстановление пароля к электронной почте тоже происходит через СМС. Аналогичным образом можно повысить защиту аккаунта в WhatsApp.
🔻Как происходит атака?
Если кратко: на устройстве пользователя внезапно появляется сообщение от сервисного канала Telegram (это официальный канал мессенджера с синей галочкой верификации) с кодом подтверждения, который пользователь не запрашивал. После этого на смартфон жертвы падает СМС с кодом активации — и практически сразу же в сервисный канал Telegram приходит уведомление о том, что в аккаунт был произведен вход с нового устройства.
Сессию можно и нужно остановить. И если на телефоне не было двухфакторки - срочно установить ее. Но увы за время работы левой сессии - вся переписка и файлы выкачиваются. Делается это скриптом, поэтому все происходит быстро.
🔻Как злодеи получают доступ к смс?
Теоретически возможны такие варианты: атаки на протоколы SS7 или Diameter, нелегальное использование специальных технических средств, инсайд у операторов.
Group-IB
Group-IB: игнорирование двухфакторной аутентификации привело к перехвату переписки в Telegram | Group-IB
Group-IB, международная компания, специализирующаяся на предотвращении кибератак, сообщает о ряде инцидентов, связанных с получением нелегального доступа к содержимому переписки в Telegram на устройствах iOS и Android у клиентов разных операторов сотовой…
👉Как злоумышленники могут читать вашу переписку в Telegram? Почему это происходит и как им в этом помешать? В новом видео об этом подробно рассказывает Сергей Никитин, заместитель Лаборатории компьютерной криминалистики Group-IB. https://www.youtube.com/watch?v=wcqVbmB_aQo
YouTube
Как злоумышленники могут читать вашу переписку в Telegram. И как им в этом помешать
Group-IB сообщает о ряде инцидентов, связанных с получением нелегального доступа к содержимому переписки в Telegram на устройствах iOS и Android у клиентов разных операторов сотовой связи. Во всех случаях на устройствах пострадавших единственным фактором…
✅Открыта регистрация на вебинар Group-IB: «Проактивный хантинг и реагирование на киберугрозы».
👉Уже более 16 лет эксперты Group-IB расследуют и предотвращают киберинциденты, анализируя инструменты и инфраструктуру атакующих. Каждая новая кибератака, направленная на компанию или объект критической инфраструктуры, дает нам возможность увидеть эволюцию тактик и инструментов.
Во время вебинара ведущий ответит на следующие вопросы:
📌 Как защитить свою инфраструктуру от целенаправленных атак?
📌 Как провести активный и проактивный поведенческий анализ?
📌 Какой первый шаг в построении вашего собственного центра мониторинга и реагирования на инциденты?
👉Регистрация доступна строго с корпоративной почты по ссылке: https://go.group-ib.com/webinar-proactive-hunting-registration?utm_source=telegram&utm_medium=article&utm_campaign=telegram
👉Уже более 16 лет эксперты Group-IB расследуют и предотвращают киберинциденты, анализируя инструменты и инфраструктуру атакующих. Каждая новая кибератака, направленная на компанию или объект критической инфраструктуры, дает нам возможность увидеть эволюцию тактик и инструментов.
Во время вебинара ведущий ответит на следующие вопросы:
📌 Как защитить свою инфраструктуру от целенаправленных атак?
📌 Как провести активный и проактивный поведенческий анализ?
📌 Какой первый шаг в построении вашего собственного центра мониторинга и реагирования на инциденты?
👉Регистрация доступна строго с корпоративной почты по ссылке: https://go.group-ib.com/webinar-proactive-hunting-registration?utm_source=telegram&utm_medium=article&utm_campaign=telegram
👉А мы продолжаем серию статей, посвященных анализу вредоносного программного обеспечения. В первой части мы рассказывали, как Илья Померанцев, специалист по анализу вредоносного кода CERT Group-IB, провел детальный анализ подозрительного файла, полученного по почте одной из европейских компаний, и обнаружил там шпионскую программу AgentTesla. В этой статье Илья приводит результаты поэтапного анализа основного модуля.
📌Agent Tesla — это модульное программное обеспечение для шпионажа, распространяемое по модели malware-as-a-service под видом легального кейлоггер-продукта. Основная опасность AgentTesla как DataStealer в том, что ему не нужно производить закрепление в системе или ожидать получения управляющей команды. Попадая на машину, он немедленно начинает сбор приватной информации и передает на сервер злоумышленникам учетные данные пользователя из браузеров, почтовых клиентов и клиентов FTP. https://habr.com/ru/company/group-ib/blog/479120/
👉В третьей статье этого цикла мы рассмотрим другие загрузчики, используемые AgentTesla, а также изучим процесс их полуавтоматической распаковки. Не пропустите!
📌Agent Tesla — это модульное программное обеспечение для шпионажа, распространяемое по модели malware-as-a-service под видом легального кейлоггер-продукта. Основная опасность AgentTesla как DataStealer в том, что ему не нужно производить закрепление в системе или ожидать получения управляющей команды. Попадая на машину, он немедленно начинает сбор приватной информации и передает на сервер злоумышленникам учетные данные пользователя из браузеров, почтовых клиентов и клиентов FTP. https://habr.com/ru/company/group-ib/blog/479120/
👉В третьей статье этого цикла мы рассмотрим другие загрузчики, используемые AgentTesla, а также изучим процесс их полуавтоматической распаковки. Не пропустите!
Хабр
Явка провалена: выводим AgentTesla на чистую воду. Часть 2
Мы продолжаем серию статей, посвященных анализу вредоносного программного обеспечения. В первой части мы рассказывали, как Илья Померанцев, специалист по анализу вредоносного кода CERT Group-IB,...
#HiTechCrimeTrends
👉 На 38% выросло общее количество скомпрометированных банковских карт в мире за период H2 2018 — H1 2019, говорится в отчете Hi-Tech Crime Trends 2019-2020
Другие интересные тенденции:
📌Дампы (копия информации магнитной полосы) по-прежнему составляют основную долю рынка кардинга, их количество в продаже выросло на 46%. Продажа текстовых данных (номер, CVV, срок действия) тоже на подъёме, их рост составил 19%.
📌Самые массовые утечки данных банковских карт связаны с компрометацией ритейла в США. По количеству скомпрометированных карт США занимает первое место с большим отрывом — 93%.
📌Страны Ближнего Востока (Кувейт, Пакистан, ОАЭ, Катар) занимают следующие позиции антирейтинга, суммарно на них приходится 2.38%. Предположительно, причиной роста количества скомпрометированных карт в этом регионе стали атаки группы Lazarus в конце 2018 и начале 2019 года.
📌Одной из точек роста объема текстовых данных стали JS- снифферы. В этом году эксперты Group-IB выявили как минимум 38 разных семейств JS-снифферов, и их количество превышает число банковских троянов.
📌В случаях с компрометацией с помощью JS-снифферов первую позицию также занимает США, а вторую — английские банки. Это прежде всего связано с успешной атакой на British Airways в конце 2018 года, в результате которой были скомпрометированы более 300 тысяч банковских карт. Кстати, $229 миллионов — составил штраф British Airways за компрометацию данных.
👉 На 38% выросло общее количество скомпрометированных банковских карт в мире за период H2 2018 — H1 2019, говорится в отчете Hi-Tech Crime Trends 2019-2020
Другие интересные тенденции:
📌Дампы (копия информации магнитной полосы) по-прежнему составляют основную долю рынка кардинга, их количество в продаже выросло на 46%. Продажа текстовых данных (номер, CVV, срок действия) тоже на подъёме, их рост составил 19%.
📌Самые массовые утечки данных банковских карт связаны с компрометацией ритейла в США. По количеству скомпрометированных карт США занимает первое место с большим отрывом — 93%.
📌Страны Ближнего Востока (Кувейт, Пакистан, ОАЭ, Катар) занимают следующие позиции антирейтинга, суммарно на них приходится 2.38%. Предположительно, причиной роста количества скомпрометированных карт в этом регионе стали атаки группы Lazarus в конце 2018 и начале 2019 года.
📌Одной из точек роста объема текстовых данных стали JS- снифферы. В этом году эксперты Group-IB выявили как минимум 38 разных семейств JS-снифферов, и их количество превышает число банковских троянов.
📌В случаях с компрометацией с помощью JS-снифферов первую позицию также занимает США, а вторую — английские банки. Это прежде всего связано с успешной атакой на British Airways в конце 2018 года, в результате которой были скомпрометированы более 300 тысяч банковских карт. Кстати, $229 миллионов — составил штраф British Airways за компрометацию данных.
F.A.C.C.T.
Hi-Tech Crime Trends 2019/2020 | Ежегодный отчет F.A.C.C.T.
Единый источник стратегической информации о киберугрозах и достоверных прогнозов их развития на 2019-2020 годы
#Turkey #cardshops
✅Данные более 460 000 карт клиентов банков Турции были выставлены на продажу в кардшопе Joker’s Stash, сообщает сегодня ZDNet со ссылкой на Group-IB. Впервые две части базы под названием "TURKEY-MIX", включавших данные 60 000 банковских карт, были обнаружены Group-IB 28 октября, позже, 27 ноября, на том же ресурсе были опубликованы еще 2 части этой базы на 400 000 карт. Более 99% карт из этой базы принадлежат банкам Турции: за последний год это единственная крупная распродажа платежных карт, связанных с турецкими банками. По оценкам экспертов Group-IB, стоимость базы на черном рынке оценивается при продаже в $500 000.
✅Напомним, что в октябре этого года эксперты Threat Intelligence Group-IB обнаружили на андеграундном форуме Joker's Stash огромную базу, содержащую более 1,3 миллиона записей с данными кредитных и дебетовых карт, более 98% из них принадлежали клиентам индийских банков. Стоимость этой базы оценивалась более чем в $130 миллионов.
✅Данные более 460 000 карт клиентов банков Турции были выставлены на продажу в кардшопе Joker’s Stash, сообщает сегодня ZDNet со ссылкой на Group-IB. Впервые две части базы под названием "TURKEY-MIX", включавших данные 60 000 банковских карт, были обнаружены Group-IB 28 октября, позже, 27 ноября, на том же ресурсе были опубликованы еще 2 части этой базы на 400 000 карт. Более 99% карт из этой базы принадлежат банкам Турции: за последний год это единственная крупная распродажа платежных карт, связанных с турецкими банками. По оценкам экспертов Group-IB, стоимость базы на черном рынке оценивается при продаже в $500 000.
✅Напомним, что в октябре этого года эксперты Threat Intelligence Group-IB обнаружили на андеграундном форуме Joker's Stash огромную базу, содержащую более 1,3 миллиона записей с данными кредитных и дебетовых карт, более 98% из них принадлежали клиентам индийских банков. Стоимость этой базы оценивалась более чем в $130 миллионов.
ZDNET
460,000 Turkish card details put up for sale, web skimmers suspected
Biggest dump of Turkish payment card details recorded in recent years.
#киберугрозы #медучреждения
📌 Чем опасны кибератаки на медицинские учреждения и откуда ждать удара? Руководитель департамента системных решений Group-IB Антон Фишман рассказал корреспонденту ComNews, что успешная кибератака на больницу или госпиталь может привести к весьма печальным последствиям: угрозе жизни и здоровья пациентов, выводу из строя дорогостоящего оборудования, потере чувствительной персональной информации. Эксперты Group-IB выделяют несколько основных типов киберугроз, направленных на медицинские учреждения:
👉Атаки вирусов-шифровальщиков (вымогателей). О том, насколько разрушительными могут быть последствия использования этого вида кибероружия, мы можем судить по атакам в 2017 году вирусов-шифровальщиков WannaCry, NotPetya, BadRabbit. Угроза все еще актуальна — в октябре 2019 сразу десять медицинских учреждений (три в Алабаме (США) и еще семь в Австралии) пострадали от атак вымогателей, из-за чего были вынуждены полностью приостановить работу или отключить некоторые из своих систем, перейдя на "ручное управление".
👉 Взлом и утечки. Взлом компьютерных систем медицинского учреждения чреват потерей персональных данных, включая диагноз пациента. В марте 2019 г. в открытом доступе была обнаружена медицинская база данных граждан России — пациентов скорой помощи нескольких подмосковных городов. Из нее можно было узнать имена, адреса и телефоны, а также о состоянии здоровья обратившихся к врачам.
👉 Хищение денег в системе ДБО (дистанционного банковского обслуживания). Компьютеры главного бухгалтера или главного врача, подключенные к системе ДБО, могут быть атакованы банковским трояном — заражение происходит после открытия фишингового письма с вредоносным вложением либо при переходе на сайт, скомпрометированный преступниками.
👉 Атаки на IоT-устройства — роутеры, видеокамеры могут использоваться для майнинга криптовалют либо, как это происходит в случаях с видеокамерами — для несанкционированной видеозаписи и шантажа.
👉 DDoS-атаки на сайт медучреждения или взлом системы электронной очереди вызовут неразбериху и негативные отклики со стороны пациентов. Ситуация, наверняка, потребуют внимания в т.ч. регуляторов.
👉 Кроме того, медучреждения могут стать жертвами "транзитных" атак — все чаще целевые атаки проводятся через посредника, то есть преступники сначала скомпрометируют инфраструктуру медучереждения для дальнейшего развития атаки на отраслевое министерство, контролирующие органы и т.д.
📌 Чем опасны кибератаки на медицинские учреждения и откуда ждать удара? Руководитель департамента системных решений Group-IB Антон Фишман рассказал корреспонденту ComNews, что успешная кибератака на больницу или госпиталь может привести к весьма печальным последствиям: угрозе жизни и здоровья пациентов, выводу из строя дорогостоящего оборудования, потере чувствительной персональной информации. Эксперты Group-IB выделяют несколько основных типов киберугроз, направленных на медицинские учреждения:
👉Атаки вирусов-шифровальщиков (вымогателей). О том, насколько разрушительными могут быть последствия использования этого вида кибероружия, мы можем судить по атакам в 2017 году вирусов-шифровальщиков WannaCry, NotPetya, BadRabbit. Угроза все еще актуальна — в октябре 2019 сразу десять медицинских учреждений (три в Алабаме (США) и еще семь в Австралии) пострадали от атак вымогателей, из-за чего были вынуждены полностью приостановить работу или отключить некоторые из своих систем, перейдя на "ручное управление".
👉 Взлом и утечки. Взлом компьютерных систем медицинского учреждения чреват потерей персональных данных, включая диагноз пациента. В марте 2019 г. в открытом доступе была обнаружена медицинская база данных граждан России — пациентов скорой помощи нескольких подмосковных городов. Из нее можно было узнать имена, адреса и телефоны, а также о состоянии здоровья обратившихся к врачам.
👉 Хищение денег в системе ДБО (дистанционного банковского обслуживания). Компьютеры главного бухгалтера или главного врача, подключенные к системе ДБО, могут быть атакованы банковским трояном — заражение происходит после открытия фишингового письма с вредоносным вложением либо при переходе на сайт, скомпрометированный преступниками.
👉 Атаки на IоT-устройства — роутеры, видеокамеры могут использоваться для майнинга криптовалют либо, как это происходит в случаях с видеокамерами — для несанкционированной видеозаписи и шантажа.
👉 DDoS-атаки на сайт медучреждения или взлом системы электронной очереди вызовут неразбериху и негативные отклики со стороны пациентов. Ситуация, наверняка, потребуют внимания в т.ч. регуляторов.
👉 Кроме того, медучреждения могут стать жертвами "транзитных" атак — все чаще целевые атаки проводятся через посредника, то есть преступники сначала скомпрометируют инфраструктуру медучереждения для дальнейшего развития атаки на отраслевое министерство, контролирующие органы и т.д.
👉Недавно эксперты Microsoft Threat Intelligence Center предупредили о кибератаках группы GALLIUM, нацеленной на телекоммуникационные компании. Напомним, что в свежем отчете #HiTechCrimeTrends специалисты Group-IB отмечали, что телеком-индустрия является одной из приоритетных целей для прогосударственных групп: скомпрометировав оператора, хакеры получают возможность развивать атаки на его клиентов для шпионажа или саботажа.
Microsoft News
GALLIUM: Targeting global telecom
Microsoft Threat Intelligence Center (MSTIC) is raising awareness of the ongoing activity by a group we call GALLIUM, targeting telecommunication providers.
#инсайд #андеграунд
📌“Известия” сегодня рассказывают, как злодеи ищут инсайдеров в банках. Павел Крылов, руководитель направления SecureBank/SecurePortal Group-IB, считает, что преступники активно ищут инсайдеров, поскольку их мошеннические схемы с использованием персональных данных сейчас успешны и эффективны. Преступные группы, в том числе и в местах лишения свободы, могут эти данные монетизировать, пользуясь возможностями по хищению и выводу денежных средств. Пока есть спрос, подобные преступления будут продолжаться.
✅Что важно: использование технических средств только на стороне банка (например, DLP) недостаточно. Российскому банковскому сектору пора «взрослеть» и переходить на использование технологий киберразведки и хантинга, основанных на знаниях техник, инструментов и механизмов работы киберкриминального рынка. Именно таким образом можно обеспечить проактивный мониторинг, в том числе андеграундных площадок, для того, чтобы предотвратить новые инсайды и угрозы для своих клиентов, поскольку данные, содержащиеся в базах могут быть использованы например, при телефонном мошенничестве.
👉Дмитрий Шестаков, руководитель группы исследования киберпреступности Group-IB, замечает, что злоумышленники часто используют андеграундные ресурсы для поиска инсайдеров в различных финансовых учреждениях. “Одни точечно ищут людей, которые работают в определенных банках. Другие — ищут сотрудников абсолютно любых финансовых учреждений. После того, как они находят подходящих кандидатов, открывают сервисы по предоставлению конфиденциальной информации из банков (это могут быть объявления на форумах, группы в Telegram для продажи банковских баз, выгрузок по определенным запросам или точечному пробиву по определенному клиенту)”.
📌“Известия” сегодня рассказывают, как злодеи ищут инсайдеров в банках. Павел Крылов, руководитель направления SecureBank/SecurePortal Group-IB, считает, что преступники активно ищут инсайдеров, поскольку их мошеннические схемы с использованием персональных данных сейчас успешны и эффективны. Преступные группы, в том числе и в местах лишения свободы, могут эти данные монетизировать, пользуясь возможностями по хищению и выводу денежных средств. Пока есть спрос, подобные преступления будут продолжаться.
✅Что важно: использование технических средств только на стороне банка (например, DLP) недостаточно. Российскому банковскому сектору пора «взрослеть» и переходить на использование технологий киберразведки и хантинга, основанных на знаниях техник, инструментов и механизмов работы киберкриминального рынка. Именно таким образом можно обеспечить проактивный мониторинг, в том числе андеграундных площадок, для того, чтобы предотвратить новые инсайды и угрозы для своих клиентов, поскольку данные, содержащиеся в базах могут быть использованы например, при телефонном мошенничестве.
👉Дмитрий Шестаков, руководитель группы исследования киберпреступности Group-IB, замечает, что злоумышленники часто используют андеграундные ресурсы для поиска инсайдеров в различных финансовых учреждениях. “Одни точечно ищут людей, которые работают в определенных банках. Другие — ищут сотрудников абсолютно любых финансовых учреждений. После того, как они находят подходящих кандидатов, открывают сервисы по предоставлению конфиденциальной информации из банков (это могут быть объявления на форумах, группы в Telegram для продажи банковских баз, выгрузок по определенным запросам или точечному пробиву по определенному клиенту)”.
Известия
Тень открытых дверей: как вербуют сотрудников банков для слива данных
73 сервиса в даркнете занимаются поиском инсайдеров