Group-IB
Слизано из wikipedia.tel
Group-IB — международная компания по предотвращению и расследованию киберпреступлений и мошенничеств.. Имеет сертификаты CISSP, CISA, CISM, CEH, CWSP, GCFA и свидетельство государственного образца в области защиты информации.
- Group-IB — международная компания, специализирующаяся на предотвращении и расследовании киберпреступлений и мошенничеств с использованием высоких технологий. Первый российский поставщик Threat Intelligence-решений, системы раннего предупреждения киберугроз, вошедший в отчеты Gartner, IDC и Forrester.
По мнению «Business Insider UK», Group-IB входит в число 7 влиятельных компаний в индустрии кибербезопасности, наряду с FireEye, Palo Alto Networks и Лабораторией Касперского[4]. Штаб-квартира компании находится в Москве.
История[править]
- В 2010 году на базе Group-IB была организована «Лаборатория компьютерной криминалистики». В конце этого же года компания вошла в состав LETA Group, из состава которой вышла в 2013 году
- 2011 год — на базе компании Group-IB создан «CERT-GIB» — круглосуточный центр быстрого реагирования на инциденты информационной безопасности (Computer Emergency Response Team).
- В конце 2013 года компания Group-IB получает «Премию Рунета» в номинации «Безопасный Рунет».
- В 2014 году аналитическое агентство Gartner включает Group IB в список 7 лучших компаний в области Cyber Intelligence
- Совместно с голландской компанией Fox-IT выпускает отчет о преступной деятельности новой хакерской группы Anunak/Carbanak, которая успешно атаковала порядка 50 крупных банков в России[7] [8]
- В 2015 году Европол заключил соглашение о сотрудничестве с Group IB в области борьбы с киберпреступлениями. Церемония подписания состоялась 17 июня в Гааге
- Ростех выбирает Group-IB в качестве одного из главных партнеров для создания системы кибербезопасности корпорации
Group-IB попадает в рейтинг ТОП-7 мировых компаний, влияющих на информационную безопасность мира, наравне с FireEye, Palo Alto, Лаборатория Касперского ФРИИ предварительно одобрил инвестсделку с Group-IB. Официально сумма сделки не разглашается, но источник издания, знакомый с ходом переговоров, говорит, что фонд планирует вложить в безопасников 210 млн рублей.
- Group-IB, основанная студентами кафедры информационной безопасности МГТУ им. Н. Э. Баумана в 2003 году, начинала как агентство по расследованию высокотехнологичных преступлений. Компания принимала участие в расследовании первых в России DDoS-атак, хищений средств с помощью вирусов для мобильных телефонов и целевых атак на банки[5]. Group-IB участвует в международных операциях[6], в том числе в поиске преступников, совершивших атаки в СНГ.
В 2010 году на базе Group-IB была создана Лаборатория компьютерной криминалистики и исследования вредоносного кода.
В 2011 компания открыла первый в России частный CERT — круглосуточный центр реагирования на инциденты информационной безопасности (CERT-GIB). Получив статус компетентной организации Координационного центра национального домена сети Интернет — администратора национальных доменов .RU и .РФ[10], компания начала развивать сервисы по борьбе с преступлениями против интеллектуальной собственности. За семь лет работы специалистами CERT было заблокировано более 10 000 доменных имен в зонах «.РФ» и.RU» — в первую очередь тех, откуда шло управление ботнетами, распространение вредоносных программ и фишинга.
Group-IB защищала символику и билетную продукцию Зимних Олимпийских игр в Сочи (бренд Sochi2014), блокировала пиратские ссылки на сериалы и фильмы Sony Pictures, СТС, Амедиа[12], а также мошеннические сайты, использующие бренды популярных банков и платежных систем.
С 2012 года Group-IВ разработала систему раннего предупреждения киберугроз. В систему входит сервис киберразведки Group-IB Intelligence, который вошел в отчет Gartner по рынку threat intelligence наряду с решениями IBM, FireEye, RSA и Check Point. В 2015 году Group-IB вошла в рейтинг крупнейших софтверных компаний России по версии «РУССОФТ».
В 2015 году госкорпорация Ростех привлекла Group-IB к построению центра реагирования на инциденты информационной безопасности (CERT) для защиты особо важных объектов[16]. Компания также консультирует холдинг по управлению государственными активами Республики Казахстан Самрук-Казына. C 2007 года Group-IB сотрудничает с Microsoft, российский представитель которой назвал её специалистов «ведущими экспертами в области киберпреступности в стране».
Group-IB — резидент кластера информационных технологий Фонда «Сколково». Компания имеет офис в наукограде Иннополис.
==Собственники и руководство Основатель и руководитель компании — Илья Сачков.
В 2010 году IT компания LETA Group приобрела 50 % акций Group-IB. В 2013 году менеджеры осуществили обратный выкуп акций.
В середине 2016 года компания привлекла финансирование от инвестиционных фондов Altera Кирилла Андросова и Run Capital, основанного предпринимателем Андреем Романенко. Каждый участник сделки приобрел 10 % акций.
Международное сотрудничество[править]
Group-IB является официальным партнером Европола. Соответствующее соглашение было подписано 17 июня 2015 года в Гааге. Компания входит экспертный совет по интернет-безопасности European Cybercrime Centre, структурного подразделения Europol по борьбе с киберпреступностью.
C 2013 Group-IB и CERT-GIB являются членами международного партнерства по противодействию киберугрозам International Multilateral Partnership Against Cyber Threats, профессионального объединения в сфере кибербезопасности, поддержанного ООН.
CERT-GIB является аккредитованным членом международного профессионального объединения Trusted Introducer и входит в крупнейшее сообщество команд реагирования FIRST, что позволяет обмениваться информацией с CERT в 78 странах и блокировать опасные сайты по всему миру.
Group-IB — член OWASP, крупнейшего сообщества специалистов в области анализа защищенности и аудита информационной безопасности приложений. Компания ведет проект OWASP SCADA Security Project, направленный на исследование защищенности промышленных систем.
Участник международного консорциума OASIS, занимающегося выработкой стандартов обмена информацией. Данные киберразведки GIB Intelligence передаются в формате STIX/TAXII на стандартизированном языке обмена данными киберугрозах, разрабатываемом OASIS[27].
В 2016 году Group-IB подписала соглашение о сотрудничестве с бизнес-кластером одного из крупнейших технических университетов Таиланда King Mongkut’s Institute of Technology Ladkrabang для продвижения системы раннего предупреждения киберугроз на тайском рынке и реализации совместных проектов в области кибербезопасности.
В 2017 году Group-IB подписала соглашение с Интерполом об обмене информацией для более эффективной борьбы с киберпреступностью. Первым этапом взаимодействия стала передача обнаруженных «цифровых следов» хакеров, причастных к атаке Bad Rabbit, спецподразделению Интерпола — Interpol Global Complex for Innovation.
Технологии[править]
По оценке Gartner, «участие в расследовании особо важных высокотехнологичных преступлений позволяет Group-IB получать эксклюзивную информацию о киберпреступниках, их взаимосвязях и другие разведданные»[31]. Помимо материалов расследований и криминалистических экспертиз, получение уникальных сведений обеспечивает высокотехнологичная инфраструктура сбора данных об угрозах, в том числе:
система мониторинга преступной активности: от слежения за бот-сетями и извлечения данных о скомпрометированных банковских картах до поиска по закрытым хакерским площадкам; автоматизированный сбор данных о преступных группах, построение связей между ними, в том числе с моделированием социальных графов; выявление неизвестного ранее вредоносного кода с помощью алгоритмов поведенческого анализа и машинного обучения; определение заражений, удаленного управления и других признаков реализации мошеннических схем на стороне пользователей систем дистанционного банковского обслуживания и интернет-порталов без установки программного обеспечения на их устройства; детектирование фишинговых сайтов и мобильных приложений с извлечением phishing kits — модулей хранения и передачи украденных сведений.
Система раннего предупреждения киберугроз[править]
Threat Intelligence Group-IB Threat Intelligence — высокотехнологичная система, позволяющая узнавать об изменениях в тактике и инструментах преступных групп, утечках информации, целевых вредоносных программах и других киберугрозах на ранних стадиях. Ранее предупреждение дает клиенту главное — время на реагирование, противодействие и предотвращение ущерба. Система предоставляет персонализированную информацию для планирования стратегии безопасности, принятия оперативных решений и настройки средств защиты. Group-IB Threat Intelligence входит в отчеты ведущих аналитических агентств — IDC, Gartner, Forrester.
Система обнаружения целевых атак TDS[править]
TDS — программно-аппаратный комплекс, который предотвращает заражения и эксплуатацию уязвимостей в корпоративных сетях. Сенсоры TDS отслеживают подозрительную активность в корпоративной сети, а эксперты CERT-GIB выявляют критические угрозы, оперативно информируя службу информационной безопасности и помогая предотвратить развитие инцидента.
TDS Polygon позволяет запускать подозрительные файлы, скачиваемые пользователями сети или приходящие по почте, в изолированной среде и получать объективное заключение о степени их опасности на основании классификатора, формируемого с помощью алгоритмов машинного обучения.
SaaS-решения для предотвращения мошенничества и кражи данных Secure Bank – система раннего обнаружения и предотвращения банковского мошенничества на веб-страницах банка и в мобильных банковских приложениях в режиме реального времени. Используя цифровой «отпечаток» устройства, поведенческий анализ, глобальные профиль пользователя и другие антифрод-технологии, Secure Bank выявляет вредоносные веб-инъекции, социальную инженерию, фишинг, бот-сети, захват учетной записи, сети нелегального обналичивания денег и прочие виды банковского мошенничества.
Secure Portal – система предотвращения онлайн-мошенничества на стороне пользователя для корпоративных и государственных порталов, e-commerce и интернет-магазинов. Система позволяет в режиме реального времени защититься от несанкционированного доступа к пользовательским данным и бонусным счетам, хищения денежных средств и различных сценариев мошенничества — от использования ботов до показа предложений конкурентов на страницах портала.
Услуги и сервисы[править]
Защита интеллектуальной собственности[править]
Group-IB Anti-Piracy — сервис защиты цифрового контента от распространения нелегальных копий в сети Интернет. Anti-Piracy в автоматическом режиме круглосуточного отслеживает более 120 000 ресурсов онлайн, включая торрент-трекеры, социальные и P2P-сети, площадки в даркнете. Найденные источники пиратского контента оперативно блокируются.
Group-IB Brand Protection — технологический сервис по выявлению и устранению угроз, направленных против бренда в интернете. Brand Protection позволяет выявлять и устранять мошеннические сайты, приложения, группы в социальных сетях, рекламу, неправомерно использующие бренд компании. Сервис также помогает организациям защищать свою репутацию в сети путем выявления информационных атак на этапе зарождения, блокировки онлайн предложений контрафактной продукции и отслеживания соблюдения партнерской политики.
Предотвращение[править]
Аудит информационной безопасности — тестирование на проникновение и глубинные исследования защищенности сертифицированными аудиторами, которые дают объективную оценку уязвимостей и рекомендации для подготовки к отражению реальных угроз.
Оценка соответствия (Compliance аудит) внутренним и внешним требованиям безопасности — например, требованиям законодательства и лучшим практикам индустрии.
Red Teaming – это регулярная имитация целевых атак на вашу компанию с использованием самых продвинутых методов и инструментов из арсенала хакерских группировок. Проводится полномасштабная проверка готовности вашей службы безопасности к предотвращению, обнаружению и своевременному реагированию на инциденты.
Pre-IR Assessment – полноценная подготовка к эффективному реагированию на инциденты ИБ. По результатам специалисты Group-IB дают рекомендации по настройке ваших систем безопасности, предоставляют четкий план действий на случай возникновения инцидента и налаживают коммуникации между департаментами.
Комплексные программы обучения, проводимые ведущими экспертами Group-IB — тренинги и мастер-классы для топ-менеджмента, служб безопасности, IT-департаментов и разработчиков программного обеспечения.
Реагирование[править]
Услуга по оперативному реагированию на инциденты информационной безопасности, включая анализ сетевой активности, криминалистический анализ и исследование вредоносного кода. Сотрудники команды реагирования на инциденты сертифицированы GIAC (Global Information Assurance Certification) и действуют в соответствии с международными методиками и стандартами.
CERT-GIB обеспечивает круглосуточную поддержку реагирования на инциденты информационной безопасности. CERT обладает полномочиями, необходимыми для оперативной блокировки сайтов, распространяющих вредоносное ПО, а также фишинговых и мошеннических ресурсов в доменах. RU, РФ и ещё более 1100 доменных зон.
CERT обладает полномочиями, необходимыми для оперативной блокировки сайтов, распространяющих вредоносное ПО, а также фишинговых и мошеннических ресурсов в доменах. RU, РФ и ещё более 1100 доменных зон.
На основании многолетнего опыта Group-IB консультирует организации по всему миру в построении корпоративных центров управления безопасностью (Information security operations center).
Расследование[править]
Расследование высокотехнологичных преступлений – старейшее направление деятельности Group-IB. На счету специалистов Group-IB – первые и самые крупные в России расследования хищений через системы интернет-банкинга, дела против организаторов и исполнителей DDoS-атак, разоблачения глобальных преступных групп.
Лаборатория компьютерной криминалистики Group-IB занимается сбором и анализом цифровых доказательств, проведением криминалистических исследований и компьютерно-технических экспертиз.
Отдел расследований Group-IB устанавливает личности подозреваемых, используя собственные аналитические системы, помогает правоохранительным органам с проведением оперативно-розыскных мероприятий, в том числе розыском, задержанием преступников, проведением обысков, а также участвует в судебных заседаниях
Награды и премии[править]
В 2012 Group-IB стала лауреатом премии «Компания года» в секторе «Телеком, IT».
В конце 2013 года компания получила «Премию Рунета» в номинации «Безопасный Рунет» за «расследование и предотвращение киберпреступлений, угрожающих стабильности и развитию общества».
В 2015 году в шорт-лист «Премии Рунета» попал совместный проект с Aviasales — сервис настоящийбилет.рф, позволяющий удостовериться в надежности продавца перед покупкой авиабилета в интернете[36].
В 2015 основатель компании Илья Сачков стал победителем специальной номинации «Выбор делового интернета» российского этапа конкурса EY Entrepreneur of the Year.
В 2016 году основатель компании Илья Сачков вошел в список самых перспективных молодых предпринимателей Forbes 30 Under 30.
В 2016 Илья Сачков стал победителем номинации «ИТ для бизнеса» международного конкурса EY «Предприниматель года 2016» в России.
В 2017 году Илья Сачков в третий раз стал победителем российского этапа конкурса EY Entrepreneur of the Year в номинации «Информационная защита бизнеса».
В 2017 году Group-IB была включена в ТОП-10 законодателей новшеств, которые, по мнению экспертов Премии Рунета, определят развитие цифрового мира в 2018 году.
Угрозы, обнаруженные Group-IB[править]
Cobalt: логические атаки на банкоматы[править]
В июле 2016 группа молодых людей в масках организованно атаковала 34 банкомата одного из крупнейших тайваньских банков First Bank, унеся с собой 83.27 миллионов тайваньских долларов (более 2 миллионов долларов США). Корпус банкомата не был вскрыт, на нём не было следов накладных устройств, преступники даже не использовали карты. На записях камер наблюдения было видно, что, подойдя к банкомату, человек совершал звонок по мобильному телефону, после чего просто забирал купюры из приемника, который выдавал их автоматически. В сентябре подобные атаки были зафиксированы в Европе.
Эксперты Group-IB первыми раскрыли механизм атаки преступной группировки Cobalt. В опубликованном расследовании «Логические атаки на банкоматы» дается подробный анализ схемы атаки[44].
Чтобы проникнуть во внутреннюю сеть банка, Cobalt точечно отправляет в банки электронные письма с вредоносными вложениями. Фишинговые письма рассылаются от лица Европейского центрального банка, производителя банкоматов Wincor Nixdorf или от имени региональных банков. После того, как преступники получали контроль над локальной сетью банка, они начинали искать сегменты, из которых можно добраться до управления банкоматами. Получив доступ к ним, группировка загружала на устройства программы, позволяющие управлять выдачей наличных.
Corkow[править]
В отчете «Атаки на брокерские и расчетные системы», опубликованном в феврале 2016 года, Group-IB описала первую в мировой практике атаку на брокера, которая привела к аномальной волатильности на валютном рынке.
Преступная группа Corkow, получив доступ к биржевому терминалу казанского «Энергобанка» с помощью вредоносного ПО, выставила заявки на покупку и продажу валюты на сумму более 400 миллионов долларов США. В результате атаки курс рубля на Московской бирже упал на 15 % по отношению к доллару США[45]. Банк понес убыток в размере 244 миллионов рублей.
Buhtrap[править]
В марте 2016 Group-IB опубликовала отчет о деятельности преступной группы Buhtrap, с августа 2015 по февраль 2016 похитившей у российских банков около 1,8 млрд рублей[47]. Высокую результативность атак группе обеспечила таргeтированная фишинговая рассылка (в том числе от имени ЦБ РФ), с помощью которой преступники попадали в корпоративную сеть.
Преступники получали доступ к Автоматизированному рабочему месту клиента Банка России (АРМ КБР) и совершали мошеннические платежи от имени банка. Описанная в отчете Group-IB схема атак позднее была использована для организации хищений через систему SWIFT.
Buhtrap — первая преступная группа, начавшая использовать сетевого червя для поражения всей инфраструктуры банка. Полная очистка сети требует одновременного отключения всех пораженных компьютеров, поскольку червь способен восстановить полный контроль над сетью даже с одной зараженной рабочей станции[49].
Anunak / Carbanak[править]
В конце 2014 Group-IB совместно с голландской компанией Fox-IT выпустила отчет о деятельности хакерской группы Anunak (известной так же как Carbanak), похитившей около 1 млрд рублей с помощью целевых атак, жертвами которых стали более 50 российских банков. В Европе Anunak атаковала POS-терминалы крупных торговых сетей, скомпрометировав данные нескольких миллионов клиентов[50]. После публикации отчета группа приостановила свою деятельность.
ATM-реверс[править]
Осенью 2015 года Group-IB сообщила о новом типе целевых атак — «ATM-реверсе», позволявшем похищать деньги из банкоматов. Преступник получал в банке неименную карту, через банкомат вносил на неё небольшую сумму и тут же снимал её. Полученный чек он отправлял сообщнику, который имел удаленный доступ к зараженным вирусом POS-терминалам, как правило, находившимся за пределами России. По коду операции, указанной в чеке, сообщник формировал команду на её отмену: на терминале это выглядело, например, как возврат товара. В результате отмены операции баланс карты восстанавливался и наличные снова были доступны для снятия. Преступники повторяли схему до тех пор, пока в банкоматах не заканчивались наличные.
От «АТМ-реверса» пострадало пять крупных российских банков, лишившихся в общей сложности 250 млн руб. Предотвратить последующие попытки хищений банкам удалось после разработки и внедрения защитных систем совместно с платежными системами Visa и MasterCard.
Кибератаки ИГИЛ на российские ресурсы[править]
В марте 2015 года Group-IB выпустила исследование «Кибератаки ИГИЛ на организации РФ», в котором сообщила о попытках взломах около 600 российских интернет-ресурсов хакерами террористической организации «Исламское государство». Чаще всего хакеры осуществляли дефейс сайта, размещая на его страницах картинки и видео с пропагандистскими лозунгами. В числе мишеней оказались не только госучреждения, банки и популярные интернет-ресурсы, но и галереи и школы. Хаотичный выбор целей эксперты компании объяснили массовым характером атак, необходимостью наработать опыт и изучить специфику российского сегмента сети.
В ходе исследования удалось установить причастность к атакам не только хакерского подразделения ИГИЛ Cyber Caliphate, но и трех других группировок общей численностью более 40 человек: Team System Dz, FallaGa Team и Global Islamic Caliphate.
Lazarus: архитектура, инструменты, атрибуция[править]
30 мая 2017 года Group-IB выпустила сенсационное исследование о северокорейской хакерской группе "Lazarus: архитектура, инструменты, атрибуция". В этом отчете была впервые вскрыта инфраструктура Lazarus, детально описаны вредоносные программы и приведены доказательства причастности Северной Кореи. Lazarus (известна также как Dark Seoul Gang) — имя северокорейской группы хакеров, за которыми, предположительно, стоит Bureau 121 — одно из подразделений Разведывательного Управления Генштаба КНА (КНДР), отвечающего за проведение киберопераций. Lazarus получила известность благодаря DDoS-атакам и взломами ресурсов государственных, военных, аэрокосмических учреждений в Южной Корее и США. В последние годы, в условиях возрастающего экономического давления на КНДР, вектор атак Lazarus сместился в сторону международных финансовых организаций.
Самая масштабная из атак — попытка украсть в феврале 2016 года почти $1 млрд из центрального банка Бангладеш. Тогда хакеры воспользовались уязвимостью в системе безопасности банка, чтобы внедрится в сеть и получить доступ к компьютерам, подключенным к SWIFT. Но из-за ошибки в платежном документе хакерам удалось вывести только $81 млн.
В феврале 2017 года Lazarus атаковала нескольких банков в Польше. Восточной Европой дело не ограничилось: Lazarus целился в сотню финансовых организаций в 30 странах мира. Хакеров интересовали сотрудники таких финансовых учреждений, как: Центральный банк РФ, Центральный банк Венесуэлы, Центральный банк Бразилии, Центральный банк Чили, Европейский центральный банк и др.
В ходе собственного расследования специалисты Group-IB собрали новые доказательства о локации группировки, выявили и изучили всю многоуровневую инфраструктуру управления, подробно описали новую тактику атакующих. Это позволило лучше понять цели и мотивацию группировки, а также получить новые знания о том, как отслеживать их активность и причастность к атакам на банковский сектор и критическую инфраструктуру[57].
Обнаружена связь Cobalt с Anunak[править]
29 мая 2018 года Group-IB обнародовала новый отчет, раскрывающий преступления хакерской группы Cobalt в отношении банков и других организаций во всем мире[58], . По данным Европола хакеры Cobalt похитили свыше 1 млрд. евро. у 100 банков в 40 странах мира: России, Великобритании, Нидерландах, Испании, Румынии, Белоруссии, Польши, Эстонии, Болгарии, Грузии, Молдавии, Киргизии, Армении, Тайване и Малайзии[60].
В новом отчете «Cobalt: эволюция и совместные операции» эксперты Threat Intelligence Group-IB впервые приводят уникальные доказательства связи Cobalt и группы Anunak (Carbanak), анализируют их совместные атаки и используемые инструменты для взлома систем SWIFT, карточного процессинга, платежных шлюзов. Впервые хищения через SWIFT группа Cobalt совершила весной 2016 года в банке Гонконга, затем на Украине. Миллионы долларов, похищенные в обоих случаях, требовали не только технологической подготовки, но и серьезных контактов с обнальщиками, которые могли бы пропустить через себя крупные суммы, выведенные через SWIFT. Эти и другие факторы позволяли предположить, что скорее всего они действовали не одни.
Первым большим самостоятельным успехом Cobalt стал First Bank на Тайване. В ходе атаки на банкоматы хакерам удалось похитить 2,18 млн долларов. В сентябре 2016 они сумели получить доступ в один из банков Казахстана. Процесс подготовки атаки и изучения инфраструктуры банка занял 2 месяца. В ноябре они успешно похитили около 600 тысяч долларов через карточный процессинг, после чего поставили такие атаки на поток. Уже в 2017 году, используя этот метод хищения, хакеры Cobalt установили абсолютный «рекорд» и предприняли попытку похитить 25 млн евро в одном из европейских банков.
В феврале 2017 года эксперты Group-IB фиксируют успешный взлом системного интегратора, которого Сobalt использует как «посредника» для проведения атак на компании в России, Казахстане, Молдавии, а также их представительства в других странах. В течение последующих 9 месяцев они получат доступ минимум в 4 аналогичных компании: по одной в Украине и США, и двум компаниям в России.
В марте 2017-го они «ломают» компанию, предоставляющую электронные кошельки и терминалы оплаты, похищая деньги через платежный шлюз.
В сентябре жертвой стал разработчик ПО для платежных терминалов. Эта атака позволила подтвердить гипотезу о коллаборации с Anunak. Именно здесь специалисты Group-IB увидят цифровые следы сразу двух хакерских команд и окончательно подтвердят связь двух групп.
В декабре 2017-го года произошла атака Cobalt через SWIFT в российском банке, ставшая первым подобным прецедентом в истории отечественной банковской индустрии.
Несмотря на арест весной 2018 года лидера группы Cobalt в испанском городе Аликанте, а чуть раньше — руководителя группы обнальщиков и нескольких его помощников, оставшиеся на свободе хакеры продолжают атаковать финансовые учреждения.
Хакеры из MoneyTaker ограбили ПИР Банк[править]
В июле 2018 года специалисты Group-IB установили, что за атакой на российский ПИР Банк и попыткой хищения нескольких десятков миллионов рублей стоит преступная группа MoneyTaker[64]. По данным газеты "Коммерсантъ" в ночь с 3 на 4 июля из банка было похищено 58 млн рублей. Глава Сбербанка Герман Греф заявлял[66], что атаку на ПИР Банк совершила группа Carbanak, однако криминалисты Group-IB нашли инструменты, которые ранее уже использовала группа MoneyTaker для проведения атак на банки, вредоносные программы, позволяющее однозначно атрибутировать инцидент, IP-адреса, с которых проводилось управление вредоносными программами, а также сам метод проникновения в сеть Атака на ПИР Банк началась в конце мая 2018 года. Предполагаемой точкой входа стало скомпрометированное сетевое устройство (маршрутизатор), стоящее в одном из территориальных подразделений Банка. Проникнув в основную сеть ПИР Банка, злоумышленники смогли получить доступ к АРМ КБР (автоматизированному рабочему месту клиента Банка России), сформировать платежные поручения и в ночь с 3 на 4 июля отправить несколькими траншами деньги «в рейс» на заранее подготовленные счета и пластиковые карты физических лиц в 17 банках из топ-50. Большая часть украденных средств была сразу же обналичена сообщниками хакеров — мулами (money mule). После этого злоумышленники попытались «закрепиться» в сети банка для подготовки последующих атак, однако вовремя были обнаружены криминалистами Group-IB.
Рост утечек пользовательских данных у криптобирж[править]
1 августа 2018 года Group-IB опубликовала первое исследование «2018 Криптовалютные биржи. Анализ утечек учетных записей пользователей», в котором говорится о том, что за год количество утечек увеличилось на 369%[70]. Своеобразный анти-рекорд показал первый месяц 2018 года: из-за повышенного интереса к криптовалютам и блокчейн-индустрии количество инцидентов в январе выросло на 689% по сравнению со среднемесячным показателем 2017 года. США, Россия и Китай — три страны, в которых зарегистрированные пользователи чаще других становились жертвами кибератак. Исследование показало, что каждый третий пострадавший находится в США[71]. Кроме того, экспертами Group-IB было выявлено 50 активных ботнетов, задействованных для кибератак на пользователей криптовалютных бирж. Задействованная киберпреступниками инфраструктура, в основном, базируется в США (56,1%), Нидерландах (21,5%), Украине (4,3%) и России (3,2%)
Публичные расследования[править]
Эксплойты — Blackhole (Paunch)[править]
Осенью 2013 года при содействии Group-IB был задержан создатель эксплойта Blackhole, с помощью которого производилось до 40 % заражений вирусами по всему миру[72]. В апреле 2016 года Дмитрий Федоров (известный под ником Paunch) был осужден на 7 лет колонии общего режима.
Атаки на юридических лиц — Carberp, Germes, Hodprot[править]
В 2012 году в результате совместного расследования ФСБ РФ, МВД РФ, Сбербанка России и Group-IB были задержаны участники преступной группы, похитившей более $250 миллионов со счетов юридических и физических лиц. За два года хакерам удалось заразить вирусом Carberp более 1,5 миллиона компьютеров, всего в результате их действий пострадали клиенты свыше 100 банков по всему миру.
Group-IB привлекла к следственным мероприятиям партнеров в Голландии и Канаде, при участии которых удалось установить всю преступную цепочку, включая организатора группы, владевшего бот-сетью, «заливщиков», проводящих мошеннические операции, и «дропов» — лиц, непосредственно осуществляющих обналичивание похищенных денежных средств. В результате впервые в российской правоохранительной практике были задержаны все фигуранты группы. Её организаторы были приговорены к пяти и восьми годам лишения свободы.
В том же году были задержаны участники других преступных групп, использовавших модифицированные версии программы Carberp для атак на физических и юридических лиц. Летом 2012 был арестован хакер, известный под псевдонимами Гермес и Араши, — создатель одной из крупнейших в мире бот-сетей, насчитывавшей около 6 млн машин. Вслед за ним задержали 7 членов команды Hodprot, укравшей более 120 млн рублей. Несмотря на то, что сервера управления бот-сетью Нodprot находились в Голландии, Германии, Франции и США, были задержаны все участники группы.
Атаки с использованием Android-троянов — 5 рейх, WapLook[править]
В апреле 2015 управление «К» МВД России при содействии Group-IB и Сбербанка произвело задержание членов преступной группы, заразившей более 340 тысяч Android-устройств с целью хищения средств с банковских карт, привязанных к телефонным номерам. Злоумышленники назвали свою программу «5 рейх», а в системе управления использовали нацистскую символику.
Хакеры распространяли вредоносную программу через SMS, cодержавших ссылку на её загрузку под видом Adobe Flash Player. Троян позволял преступникам перехватывать поступающие SMS-уведомления из банка и незаметно для владельца подтверждать перевод средств с банковского счета на счета хакеров.
Схема хищения была схожа с методикой атак WapLook — первой в России преступной группы, использовавшей вредоносные программы для мобильных телефонов для атак на физических лиц. Организаторы группы были задержан при содействии Group-IB в сентябре 2014 года.
Фейковое приложение — «Банки на ладони»[править]
В мае 2018 года Управлением «К» МВД России при активном содействии Group-IB был задержан 32-летний житель Волгоградской области, обвиняемый в хищениях у клиентов российских банков при помощи Android-трояна. Ежедневно у пользователей похищали от 100 000 до 500 000 рублей, часть украденных денег переводилась в криптовалюту.
Используемый в преступной схеме банковский троян был замаскирован под финансовое приложение «Банки на ладони», выполняющего роль «агрегатора» систем мобильного банкинга ведущих банков страны. Запущенный троян отправлял данные банковских карт или логины\пароли для входа в интернет-банкинг на сервер злоумышленникам. После этого киберпреступник переводил деньги на заранее подготовленные банковские счета суммами от 12 до 30 тысяч рублей за один перевод, вводя SMS-код подтверждения операции, перехваченный с телефона жертвы. Сами пользователи не подозревали, что стали жертвами — все SMS-подтверждения транзакций блокировались[82]. Приложение распространялось через спам-рассылки, на форумах и через официальный магазин GooglePlay. Впервые активность вредоносной программы была зафиксирована в 2016 году.
Фишинг — Братья Попелыши[править]
При содействии Group-IB оказались за решеткой братья-близнецы Дмитрий и Евгений Попелыши из Санкт-Петербурга, которые в течение несколько похищали деньги с банковских счетов клиентов онлайн-банкинга ведущих банков страны, перехватывая идентификационные данные клиентов с помощью поддельной — фишинговой — страницы. Дело стало первым в российском практике процессом против преступников, использовавших фишинговые схемы .
Первые атаки на клиентов банков 23-летние Попелыши вместе с 19-летним калининградским хакером Александром Сарбиным совершили в 2010 году[85]. Преступники заражали компьютеры пользователей вирусом Trojan.Win32.VKhost, который при переходе к официальному интернет-банкингу одного из крупнейших российских банков перенаправлял клиента на фишинговую страницу. Здесь, под предлогом смены политики безопасности пользователю предлагалось ввести логин, пароль и код подтверждения со скретч-карты банка. Используя эти данные, преступники выводили деньги через подлинный сайт дистанционного банковского обслуживания (ДБО). С 2010 по 2011 год группе братьев Попелышей удалось снять 13 млн рублей со счетов более 170 клиентов банков из 46 регионов страны.
Весной 2011 года Попелышей задержали, однако злоумышленники отделались весьма мягким приговором. В сентябре 2012 года Чертановский районный суд Москвы приговорил их к шести годам лишения свободы условно с испытательным сроком 5 лет. Даже пока шло расследование и судебный процесс братья снова грабили клиентов банка — в общей сложности в период с марта 2013 по май 2015 года группировка Попелышей получила доступ к более чем 7 000 счетов клиентов различных российских банков и похитили более 12,5 млн рублей. . Попелышей снова задержали в мае 2015 года в ходе совместной спецоперации МВД и ФСБ в Петербурге. В качестве экспертов при обыске участвовали представители отдела расследований и киберкриминалисты Group-IB. Когда полицейский спецназ выпиливал металлическую дверь квартиры, где жили Попелыши, братья в панике пытались смыть в туалете полмиллиона рублей, флешки и сим-карты. На случай полицейской облавы у братьев был заготовлен даже электромагнитный излучатель для размагничивания компьютерных дисков[87]. В июне 2018 года Савеловский суд Москвы приговорил Евгения и Дмитрия Попелышей к 8 годам лишения свободы, их сообщники получили от 4 до 6 лет[
Позиции в рейтингах[править]
Лауреат «Премии Рунета — 2013» в номинации «Безопасный Рунет».
- Лауреат премии «Компания года» в секторе «Телеком, IT».
Участие в расследованиях[править]
1. Группа онлайн мошенников Carberp получила 5 и 8 лет;
2. Группа Hodprot, которая похитила деньги у 1,6 млн пользователей ;
3. Арестован хакер за проведение заказных DDoS-атак ;
4. При активном содействии Group-IB задержана группа мобильных хакеров ;
5. Задержаны кибер-фашисты, организовывавшие вирусные атаки на мобильные устройства на платформе Android;
6. Задержаны братья-близнецы, которые украли более 11 млн рублей со счетов российских банков