WikiSort.ru - Не сортированное

ПОИСК ПО САЙТУ | о проекте
Group-IB
Тип Общество с ограниченной ответственностью
Основание 2003
Расположение Москва, (Россия)
Ключевые фигуры Сачков, Илья Константинович (CEO)
Отрасль Информационные технологии
Сайт group-ib.ru
 Group-IB на Викискладе

Group-IB — международная компания, специализирующаяся на предотвращении и расследовании киберпреступлений и мошенничеств с использованием высоких технологий. Первый российский поставщик Threat Intelligence-решений, системы раннего предупреждения киберугроз, вошедший в отчеты Gartner[1], IDC[2] и Forrester[3].

По мнению «Business Insider UK», Group-IB входит в число 7 влиятельных компаний в индустрии кибербезопасности, наряду с FireEye, Palo Alto Networks и Лабораторией Касперского[4]. Штаб-квартира компании находится в Москве.

История

Group-IB, основанная студентами кафедры информационной безопасности МГТУ им. Н. Э. Баумана в 2003 году, начинала как агентство по расследованию высокотехнологичных преступлений. Компания принимала участие в расследовании первых в России DDoS-атак, хищений средств с помощью вирусов для мобильных телефонов и целевых атак на банки[5]. Group-IB участвует в международных операциях[6], в том числе в поиске преступников, совершивших атаки в СНГ[7].

В 2010 году на базе Group-IB была создана Лаборатория компьютерной криминалистики и исследования вредоносного кода[8].

В 2011 компания открыла первый в России частный CERT — круглосуточный центр реагирования на инциденты информационной безопасности (CERT-GIB)[9]. Получив статус компетентной организации Координационного центра национального домена сети Интернет — администратора национальных доменов .RU и .РФ[10], компания начала развивать сервисы по борьбе с преступлениями против интеллектуальной собственности. За семь лет работы специалистами CERT было заблокировано более 10 000 доменных имен в зонах «.РФ» и.RU» — в первую очередь тех, откуда шло управление ботнетами, распространение вредоносных программ и фишинга.

Group-IB защищала символику и билетную продукцию Зимних Олимпийских игр в Сочи (бренд Sochi2014)[11], блокировала пиратские ссылки на сериалы и фильмы Sony Pictures, СТС, Амедиа[12], а также мошеннические сайты, использующие бренды популярных банков и платежных систем[13].

С 2012 года Group-IВ разработала систему раннего предупреждения киберугроз. В систему входит сервис киберразведки Group-IB Intelligence, который вошел в отчет Gartner по рынку threat intelligence наряду с решениями IBM, FireEye, RSA и Check Point[14]. В 2015 году Group-IB вошла в рейтинг крупнейших софтверных компаний России по версии «РУССОФТ»[15].

В 2015 году госкорпорация Ростех привлекла Group-IB к построению центра реагирования на инциденты информационной безопасности (CERT) для защиты особо важных объектов[16]. Компания также консультирует холдинг по управлению государственными активами Республики Казахстан Самрук-Казына[17]. C 2007 года Group-IB сотрудничает с Microsoft, российский представитель которой назвал её специалистов «ведущими экспертами в области киберпреступности в стране»[18].

Group-IB — резидент кластера информационных технологий Фонда «Сколково». Компания имеет офис в наукограде Иннополис.

Собственники и руководство

Основатель и руководитель компании — Илья Сачков.

В 2010 году IT компания LETA Group приобрела 50 % акций Group-IB. В 2013 году менеджеры осуществили обратный выкуп акций[19].

В середине 2016 года компания привлекла финансирование от инвестиционных фондов Altera Кирилла Андросова и Run Capital, основанного предпринимателем Андреем Романенко. Каждый участник сделки приобрел 10 % акций[20][21].

Международное сотрудничество

Group-IB является официальным партнером Европола. Соответствующее соглашение было подписано 17 июня 2015 года в Гааге[22]. Компания входит экспертный совет по интернет-безопасности European Cybercrime Centre, структурного подразделения Europol по борьбе с киберпреступностью[23].

C 2013 Group-IB и CERT-GIB являются членами международного партнерства по противодействию киберугрозам International Multilateral Partnership Against Cyber Threats, профессионального объединения в сфере кибербезопасности, поддержанного ООН.

CERT-GIB является аккредитованным членом международного профессионального объединения Trusted Introducer[24] и входит в крупнейшее сообщество команд реагирования FIRST, что позволяет обмениваться информацией с CERT в 78 странах и блокировать опасные сайты по всему миру[25].

Group-IB — член OWASP, крупнейшего сообщества специалистов в области анализа защищенности и аудита информационной безопасности приложений. Компания ведет проект OWASP SCADA Security Project, направленный на исследование защищенности промышленных систем[26].

Участник международного консорциума OASIS, занимающегося выработкой стандартов обмена информацией. Данные киберразведки GIB Intelligence передаются в формате STIX/TAXII на стандартизированном языке обмена данными киберугрозах, разрабатываемом OASIS[27].

В 2016 году Group-IB подписала соглашение о сотрудничестве с бизнес-кластером одного из крупнейших технических университетов Таиланда King Mongkut’s Institute of Technology Ladkrabang для продвижения системы раннего предупреждения киберугроз на тайском рынке и реализации совместных проектов в области кибербезопасности[28].

В 2017 году Group-IB подписала соглашение с Интерполом об обмене информацией для более эффективной борьбы с киберпреступностью. Первым этапом взаимодействия стала передача обнаруженных «цифровых следов» хакеров, причастных к атаке Bad Rabbit, спецподразделению Интерпола — Interpol Global Complex for Innovation[29][29].

Технологии

По оценке Gartner, «участие в расследовании особо важных высокотехнологичных преступлений позволяет Group-IB получать эксклюзивную информацию о киберпреступниках, их взаимосвязях и другие разведданные»[30]. Помимо материалов расследований и криминалистических экспертиз, получение уникальных сведений обеспечивает высокотехнологичная инфраструктура сбора данных об угрозах, в том числе:

система мониторинга преступной активности: от слежения за бот-сетями и извлечения данных о скомпрометированных банковских картах до поиска по закрытым хакерским площадкам; автоматизированный сбор данных о преступных группах, построение связей между ними, в том числе с моделированием социальных графов; выявление неизвестного ранее вредоносного кода с помощью алгоритмов поведенческого анализа и машинного обучения; определение заражений, удаленного управления и других признаков реализации мошеннических схем на стороне пользователей систем дистанционного банковского обслуживания и интернет-порталов без установки программного обеспечения на их устройства; детектирование фишинговых сайтов и мобильных приложений с извлечением phishing kits — модулей хранения и передачи украденных сведений.

Система раннего предупреждения киберугроз

Threat Intelligence

Group-IB Threat Intelligence — высокотехнологичная система, позволяющая узнавать об изменениях в тактике и инструментах преступных групп, утечках информации, целевых вредоносных программах и других киберугрозах на ранних стадиях. Ранее предупреждение дает клиенту главное — время на реагирование, противодействие и предотвращение ущерба. Система предоставляет персонализированную информацию для планирования стратегии безопасности, принятия оперативных решений и настройки средств защиты. Group-IB Threat Intelligence входит в отчеты ведущих аналитических агентств — IDC, Gartner, Forrester.

Система обнаружения целевых атак TDS

TDS — программно-аппаратный комплекс, который предотвращает заражения и эксплуатацию уязвимостей в корпоративных сетях. Сенсоры TDS отслеживают подозрительную активность в корпоративной сети, а эксперты CERT-GIB выявляют критические угрозы, оперативно информируя службу информационной безопасности и помогая предотвратить развитие инцидента.

TDS Polygon позволяет запускать подозрительные файлы, скачиваемые пользователями сети или приходящие по почте, в изолированной среде и получать объективное заключение о степени их опасности на основании классификатора, формируемого с помощью алгоритмов машинного обучения.

SaaS-решения для предотвращения мошенничества и кражи данных

Secure Bank – система раннего обнаружения и предотвращения банковского мошенничества на веб-страницах банка и в мобильных банковских приложениях в режиме реального времени. Используя цифровой «отпечаток» устройства, поведенческий анализ, глобальные профиль пользователя и другие антифрод-технологии, Secure Bank выявляет вредоносные веб-инъекции, социальную инженерию, фишинг, бот-сети, захват учетной записи, сети нелегального обналичивания денег и прочие виды банковского мошенничества.

Secure Portal – система предотвращения онлайн-мошенничества на стороне пользователя для корпоративных и государственных порталов, e-commerce и интернет-магазинов. Система позволяет в режиме реального времени защититься от несанкционированного доступа к пользовательским данным и бонусным счетам, хищения денежных средств и различных сценариев мошенничества — от использования ботов до показа предложений конкурентов на страницах портала.

Услуги и сервисы

Защита интеллектуальной собственности

Group-IB Anti-Piracy — сервис защиты цифрового контента от распространения нелегальных копий в сети Интернет. Anti-Piracy в автоматическом режиме круглосуточного отслеживает более 120 000 ресурсов онлайн, включая торрент-трекеры, социальные и P2P-сети, площадки в даркнете. Найденные источники пиратского контента оперативно блокируются.

Group-IB Brand Protection — технологический сервис по выявлению и устранению угроз, направленных против бренда в интернете. Brand Protection позволяет выявлять и устранять мошеннические сайты, приложения, группы в социальных сетях, рекламу, неправомерно использующие бренд компании. Сервис также помогает организациям защищать свою репутацию в сети путем выявления информационных атак на этапе зарождения, блокировки онлайн предложений контрафактной продукции и отслеживания соблюдения партнерской политики.

Предотвращение

Аудит информационной безопасности — тестирование на проникновение и глубинные исследования защищенности сертифицированными аудиторами, которые дают объективную оценку уязвимостей и рекомендации для подготовки к отражению реальных угроз.

Оценка соответствия (Compliance аудит) внутренним и внешним требованиям безопасности — например, требованиям законодательства и лучшим практикам индустрии.

Red Teaming – это регулярная имитация целевых атак на вашу компанию с использованием самых продвинутых методов и инструментов из арсенала хакерских группировок. Проводится полномасштабная проверка готовности вашей службы безопасности к предотвращению, обнаружению и своевременному реагированию на инциденты.

Pre-IR Assessment – полноценная подготовка к эффективному реагированию на инциденты ИБ. По результатам специалисты Group-IB дают рекомендации по настройке ваших систем безопасности, предоставляют четкий план действий на случай возникновения инцидента и налаживают коммуникации между департаментами.

Комплексные программы обучения, проводимые ведущими экспертами Group-IB — тренинги и мастер-классы для топ-менеджмента, служб безопасности, IT-департаментов и разработчиков программного обеспечения.

Реагирование

Услуга по оперативному реагированию на инциденты информационной безопасности, включая анализ сетевой активности, криминалистический анализ и исследование вредоносного кода. Сотрудники команды реагирования на инциденты сертифицированы GIAC (Global Information Assurance Certification) и действуют в соответствии с международными методиками и стандартами.

CERT-GIB обеспечивает круглосуточную поддержку реагирования на инциденты информационной безопасности. CERT обладает полномочиями, необходимыми для оперативной блокировки сайтов, распространяющих вредоносное ПО, а также фишинговых и мошеннических ресурсов в доменах. RU, РФ и ещё более 1100 доменных зон.

CERT обладает полномочиями, необходимыми для оперативной блокировки сайтов, распространяющих вредоносное ПО, а также фишинговых и мошеннических ресурсов в доменах. RU, РФ и ещё более 1100 доменных зон.

На основании многолетнего опыта Group-IB консультирует организации по всему миру в построении корпоративных центров управления безопасностью (Information security operations center).

Расследование

Расследование высокотехнологичных преступлений – старейшее направление деятельности Group-IB. На счету специалистов Group-IB – первые и самые крупные в России расследования хищений через системы интернет-банкинга, дела против организаторов и исполнителей DDoS-атак, разоблачения глобальных преступных групп[5].

Лаборатория компьютерной криминалистики Group-IB занимается сбором и анализом цифровых доказательств, проведением криминалистических исследований и компьютерно-технических экспертиз.

Отдел расследований Group-IB устанавливает личности подозреваемых, используя собственные аналитические системы, помогает правоохранительным органам с проведением оперативно-розыскных мероприятий, в том числе розыском, задержанием преступников, проведением обысков, а также участвует в судебных заседаниях [31].

Награды и премии

В 2012 Group-IB стала лауреатом премии «Компания года» в секторе «Телеком, IT»[32].

В конце 2013 года компания получила «Премию Рунета» в номинации «Безопасный Рунет» за «расследование и предотвращение киберпреступлений, угрожающих стабильности и развитию общества»[33].

В 2015 году в шорт-лист «Премии Рунета» попал совместный проект с Aviasales — сервис настоящийбилет.рф, позволяющий удостовериться в надежности продавца перед покупкой авиабилета в интернете[34].

В 2015 основатель компании Илья Сачков стал победителем специальной номинации «Выбор делового интернета» российского этапа конкурса EY Entrepreneur of the Year[35].

В 2016 году основатель компании Илья Сачков вошел в список самых перспективных молодых предпринимателей Forbes 30 Under 30[36].

В 2016 Илья Сачков стал победителем номинации «ИТ для бизнеса» международного конкурса EY «Предприниматель года 2016» в России[37].

В 2017 году Илья Сачков в третий раз стал победителем российского этапа конкурса EY Entrepreneur of the Year в номинации «Информационная защита бизнеса»[38].

В 2017 году Group-IB была включена в ТОП-10 законодателей новшеств, которые, по мнению экспертов Премии Рунета, определят развитие цифрового мира в 2018 году.[39]

Угрозы, обнаруженные Group-IB

Cobalt: логические атаки на банкоматы

В июле 2016 группа молодых людей в масках организованно атаковала 34 банкомата одного из крупнейших тайваньских банков First Bank, унеся с собой 83.27 миллионов тайваньских долларов (более 2 миллионов долларов США)[40]. Корпус банкомата не был вскрыт, на нём не было следов накладных устройств, преступники даже не использовали карты. На записях камер наблюдения было видно, что, подойдя к банкомату, человек совершал звонок по мобильному телефону, после чего просто забирал купюры из приемника, который выдавал их автоматически. В сентябре подобные атаки были зафиксированы в Европе.

Эксперты Group-IB первыми раскрыли механизм атаки преступной группировки Cobalt[41]. В опубликованном расследовании «Логические атаки на банкоматы» дается подробный анализ схемы атаки[42].

Чтобы проникнуть во внутреннюю сеть банка, Cobalt точечно отправляет в банки электронные письма с вредоносными вложениями. Фишинговые письма рассылаются от лица Европейского центрального банка, производителя банкоматов Wincor Nixdorf или от имени региональных банков. После того, как преступники получали контроль над локальной сетью банка, они начинали искать сегменты, из которых можно добраться до управления банкоматами. Получив доступ к ним, группировка загружала на устройства программы, позволяющие управлять выдачей наличных.

Corkow

В отчете «Атаки на брокерские и расчетные системы», опубликованном в феврале 2016 года, Group-IB описала первую в мировой практике атаку на брокера, которая привела к аномальной волатильности на валютном рынке.

Преступная группа Corkow, получив доступ к биржевому терминалу казанского «Энергобанка» с помощью вредоносного ПО, выставила заявки на покупку и продажу валюты на сумму более 400 миллионов долларов США. В результате атаки курс рубля на Московской бирже упал на 15 % по отношению к доллару США[43]. Банк понес убыток в размере 244 миллионов рублей[44].

Buhtrap

В марте 2016 Group-IB опубликовала отчет о деятельности преступной группы Buhtrap, с августа 2015 по февраль 2016 похитившей у российских банков около 1,8 млрд рублей[45]. Высокую результативность атак группе обеспечила таргeтированная фишинговая рассылка (в том числе от имени ЦБ РФ), с помощью которой преступники попадали в корпоративную сеть.

Преступники получали доступ к Автоматизированному рабочему месту клиента Банка России (АРМ КБР) и совершали мошеннические платежи от имени банка. Описанная в отчете Group-IB схема атак позднее была использована для организации хищений через систему SWIFT[46].

Buhtrap — первая преступная группа, начавшая использовать сетевого червя для поражения всей инфраструктуры банка. Полная очистка сети требует одновременного отключения всех пораженных компьютеров, поскольку червь способен восстановить полный контроль над сетью даже с одной зараженной рабочей станции[47].

Anunak / Carbanak

В конце 2014 Group-IB совместно с голландской компанией Fox-IT выпустила отчет о деятельности хакерской группы Anunak (известной так же как Carbanak), похитившей около 1 млрд рублей с помощью целевых атак, жертвами которых стали более 50 российских банков. В Европе Anunak атаковала POS-терминалы крупных торговых сетей, скомпрометировав данные нескольких миллионов клиентов[48]. После публикации отчета группа приостановила свою деятельность[49].

ATM-реверс

Осенью 2015 года Group-IB сообщила о новом типе целевых атак — «ATM-реверсе», позволявшем похищать деньги из банкоматов. Преступник получал в банке неименную карту, через банкомат вносил на неё небольшую сумму и тут же снимал её. Полученный чек он отправлял сообщнику, который имел удаленный доступ к зараженным вирусом POS-терминалам, как правило, находившимся за пределами России. По коду операции, указанной в чеке, сообщник формировал команду на её отмену: на терминале это выглядело, например, как возврат товара. В результате отмены операции баланс карты восстанавливался и наличные снова были доступны для снятия. Преступники повторяли схему до тех пор, пока в банкоматах не заканчивались наличные.

От «АТМ-реверса» пострадало пять крупных российских банков, лишившихся в общей сложности 250 млн руб. Предотвратить последующие попытки хищений банкам удалось после разработки и внедрения защитных систем совместно с платежными системами Visa и MasterCard[50].

Кибератаки ИГИЛ на российские ресурсы

В марте 2015 года Group-IB выпустила исследование «Кибератаки ИГИЛ на организации РФ», в котором сообщила о попытках взломах около 600 российских интернет-ресурсов хакерами террористической организации «Исламское государство». Чаще всего хакеры осуществляли дефейс сайта, размещая на его страницах картинки и видео с пропагандистскими лозунгами. В числе мишеней оказались не только госучреждения, банки и популярные интернет-ресурсы, но и галереи и школы. Хаотичный выбор целей эксперты компании объяснили массовым характером атак, необходимостью наработать опыт и изучить специфику российского сегмента сети.

В ходе исследования удалось установить причастность к атакам не только хакерского подразделения ИГИЛ Cyber Caliphate, но и трех других группировок общей численностью более 40 человек: Team System Dz, FallaGa Team и Global Islamic Caliphate.[51]

Lazarus: архитектура, инструменты, атрибуция

30 мая 2017 года Group-IB выпустила сенсационное исследование о северокорейской хакерской группе "Lazarus: архитектура, инструменты, атрибуция". В этом отчете была впервые вскрыта инфраструктура Lazarus, детально описаны вредоносные программы и приведены доказательства причастности Северной Кореи[52]. Lazarus (известна также как Dark Seoul Gang) — имя северокорейской группы хакеров, за которыми, предположительно, стоит Bureau 121 — одно из подразделений Разведывательного Управления Генштаба КНА (КНДР), отвечающего за проведение киберопераций. Lazarus получила известность благодаря DDoS-атакам и взломами ресурсов государственных, военных, аэрокосмических учреждений в Южной Корее и США. В последние годы, в условиях возрастающего экономического давления на КНДР, вектор атак Lazarus сместился в сторону международных финансовых организаций[53].

Самая масштабная из атак — попытка украсть в феврале 2016 года почти $1 млрд из центрального банка Бангладеш. Тогда хакеры воспользовались уязвимостью в системе безопасности банка, чтобы внедрится в сеть и получить доступ к компьютерам, подключенным к SWIFT. Но из-за ошибки в платежном документе хакерам удалось вывести только $81 млн.

В феврале 2017 года Lazarus атаковала нескольких банков в Польше. Восточной Европой дело не ограничилось: Lazarus целился в сотню финансовых организаций в 30 странах мира. Хакеров интересовали сотрудники таких финансовых учреждений, как: Центральный банк РФ, Центральный банк Венесуэлы, Центральный банк Бразилии, Центральный банк Чили, Европейский центральный банк и др[54].

В ходе собственного расследования специалисты Group-IB собрали новые доказательства о локации группировки, выявили и изучили всю многоуровневую инфраструктуру управления, подробно описали новую тактику атакующих. Это позволило лучше понять цели и мотивацию группировки, а также получить новые знания о том, как отслеживать их активность и причастность к атакам на банковский сектор и критическую инфраструктуру[55].

Обнаружена связь Cobalt с Anunak

29 мая 2018 года Group-IB обнародовала новый отчет, раскрывающий преступления хакерской группы Cobalt в отношении банков и других организаций во всем мире[56], [57]. По данным Европола хакеры Cobalt похитили свыше 1 млрд. евро. у 100 банков в 40 странах мира: России, Великобритании, Нидерландах, Испании, Румынии, Белоруссии, Польши, Эстонии, Болгарии, Грузии, Молдавии, Киргизии, Армении, Тайване и Малайзии[58].

В новом отчете «Cobalt: эволюция и совместные операции» эксперты Threat Intelligence Group-IB впервые приводят уникальные доказательства связи Cobalt и группы Anunak (Carbanak), анализируют их совместные атаки и используемые инструменты для взлома систем SWIFT, карточного процессинга, платежных шлюзов. Впервые хищения через SWIFT группа Cobalt совершила весной 2016 года в банке Гонконга, затем на Украине. Миллионы долларов, похищенные в обоих случаях, требовали не только технологической подготовки, но и серьезных контактов с обнальщиками, которые могли бы пропустить через себя крупные суммы, выведенные через SWIFT. Эти и другие факторы позволяли предположить, что скорее всего они действовали не одни[59].

Первым большим самостоятельным успехом Cobalt стал First Bank на Тайване. В ходе атаки на банкоматы хакерам удалось похитить 2,18 млн долларов. В сентябре 2016 они сумели получить доступ в один из банков Казахстана. Процесс подготовки атаки и изучения инфраструктуры банка занял 2 месяца. В ноябре они успешно похитили около 600 тысяч долларов через карточный процессинг, после чего поставили такие атаки на поток. Уже в 2017 году, используя этот метод хищения, хакеры Cobalt установили абсолютный «рекорд» и предприняли попытку похитить 25 млн евро в одном из европейских банков.

В феврале 2017 года эксперты Group-IB фиксируют успешный взлом системного интегратора, которого Сobalt использует как «посредника» для проведения атак на компании в России, Казахстане, Молдавии, а также их представительства в других странах. В течение последующих 9 месяцев они получат доступ минимум в 4 аналогичных компании: по одной в Украине и США, и двум компаниям в России.

В марте 2017-го они «ломают» компанию, предоставляющую электронные кошельки и терминалы оплаты, похищая деньги через платежный шлюз.

В сентябре жертвой стал разработчик ПО для платежных терминалов. Эта атака позволила подтвердить гипотезу о коллаборации с Anunak. Именно здесь специалисты Group-IB увидят цифровые следы сразу двух хакерских команд и окончательно подтвердят связь двух групп[60].

В декабре 2017-го года произошла атака Cobalt через SWIFT в российском банке, ставшая первым подобным прецедентом в истории отечественной банковской индустрии.

Несмотря на арест весной 2018 года лидера группы Cobalt в испанском городе Аликанте, а чуть раньше — руководителя группы обнальщиков и нескольких его помощников, оставшиеся на свободе хакеры продолжают атаковать финансовые учреждения[61].

Хакеры из MoneyTaker ограбили ПИР Банк

В июле 2018 года специалисты Group-IB установили, что за атакой на российский ПИР Банк и попыткой хищения нескольких десятков миллионов рублей стоит преступная группа MoneyTaker[62]. По данным газеты "Коммерсантъ" в ночь с 3 на 4 июля из банка было похищено 58 млн рублей[63]. Глава Сбербанка Герман Греф заявлял[64], что атаку на ПИР Банк совершила группа Carbanak, однако криминалисты Group-IB нашли инструменты, которые ранее уже использовала группа MoneyTaker для проведения атак на банки, вредоносные программы, позволяющее однозначно атрибутировать инцидент, IP-адреса, с которых проводилось управление вредоносными программами, а также сам метод проникновения в сеть[65] Атака на ПИР Банк началась в конце мая 2018 года. Предполагаемой точкой входа стало скомпрометированное сетевое устройство (маршрутизатор), стоящее в одном из территориальных подразделений Банка[66]. Проникнув в основную сеть ПИР Банка, злоумышленники смогли получить доступ к АРМ КБР (автоматизированному рабочему месту клиента Банка России), сформировать платежные поручения и в ночь с 3 на 4 июля отправить несколькими траншами деньги «в рейс» на заранее подготовленные счета и пластиковые карты физических лиц в 17 банках из топ-50. Большая часть украденных средств была сразу же обналичена сообщниками хакеров — мулами (money mule). После этого злоумышленники попытались «закрепиться» в сети банка для подготовки последующих атак, однако вовремя были обнаружены криминалистами Group-IB[67].

Рост утечек пользовательских данных у криптобирж

1 августа 2018 года Group-IB опубликовала первое исследование «2018 Криптовалютные биржи. Анализ утечек учетных записей пользователей», в котором говорится о том, что за год количество утечек увеличилось на 369%[68]. Своеобразный анти-рекорд показал первый месяц 2018 года: из-за повышенного интереса к криптовалютам и блокчейн-индустрии количество инцидентов в январе выросло на 689% по сравнению со среднемесячным показателем 2017 года. США, Россия и Китай — три страны, в которых зарегистрированные пользователи чаще других становились жертвами кибератак. Исследование показало, что каждый третий пострадавший находится в США[69]. Кроме того, экспертами Group-IB было выявлено 50 активных ботнетов, задействованных для кибератак на пользователей криптовалютных бирж. Задействованная киберпреступниками инфраструктура, в основном, базируется в США (56,1%), Нидерландах (21,5%), Украине (4,3%) и России (3,2%)

Публичные расследования

Эксплойты — Blackhole (Paunch)

Осенью 2013 года при содействии Group-IB был задержан создатель эксплойта Blackhole, с помощью которого производилось до 40 % заражений вирусами по всему миру[70]. В апреле 2016 года Дмитрий Федоров (известный под ником Paunch) был осужден на 7 лет колонии общего режима[71].

Атаки на юридических лиц — Carberp, Germes, Hodprot

В 2012 году в результате совместного расследования ФСБ РФ, МВД РФ, Сбербанка России и Group-IB были задержаны участники преступной группы, похитившей более $250 миллионов со счетов юридических и физических лиц. За два года хакерам удалось заразить вирусом Carberp более 1,5 миллиона компьютеров, всего в результате их действий пострадали клиенты свыше 100 банков по всему миру.

Group-IB привлекла к следственным мероприятиям партнеров в Голландии и Канаде, при участии которых удалось установить всю преступную цепочку, включая организатора группы, владевшего бот-сетью, «заливщиков», проводящих мошеннические операции, и «дропов» — лиц, непосредственно осуществляющих обналичивание похищенных денежных средств[72]. В результате впервые в российской правоохранительной практике были задержаны все фигуранты группы. Её организаторы были приговорены к пяти и восьми годам лишения свободы[73].

В том же году были задержаны участники других преступных групп, использовавших модифицированные версии программы Carberp для атак на физических и юридических лиц. Летом 2012 был арестован хакер, известный под псевдонимами Гермес и Араши, — создатель одной из крупнейших в мире бот-сетей, насчитывавшей около 6 млн машин[74]. Вслед за ним задержали 7 членов команды Hodprot, укравшей более 120 млн рублей[75]. Несмотря на то, что сервера управления бот-сетью Нodprot находились в Голландии, Германии, Франции и США, были задержаны все участники группы[76].

Атаки с использованием Android-троянов — 5 рейх, WapLook

В апреле 2015 управление «К» МВД России при содействии Group-IB и Сбербанка произвело задержание членов преступной группы, заразившей более 340 тысяч Android-устройств с целью хищения средств с банковских карт, привязанных к телефонным номерам. Злоумышленники назвали свою программу «5 рейх», а в системе управления использовали нацистскую символику[77].

Хакеры распространяли вредоносную программу через SMS, cодержавших ссылку на её загрузку под видом Adobe Flash Player. Троян позволял преступникам перехватывать поступающие SMS-уведомления из банка и незаметно для владельца подтверждать перевод средств с банковского счета на счета хакеров.

Схема хищения была схожа с методикой атак WapLook — первой в России преступной группы, использовавшей вредоносные программы для мобильных телефонов для атак на физических лиц. Организаторы группы были задержан при содействии Group-IB в сентябре 2014 года[49].

Фейковое приложение — «Банки на ладони»

В мае 2018 года Управлением «К» МВД России при активном содействии Group-IB был задержан 32-летний житель Волгоградской области, обвиняемый в хищениях у клиентов российских банков при помощи Android-трояна. Ежедневно у пользователей похищали от 100 000 до 500 000 рублей, часть украденных денег переводилась в криптовалюту[78].

Используемый в преступной схеме банковский троян был замаскирован под финансовое приложение «Банки на ладони», выполняющего роль «агрегатора» систем мобильного банкинга ведущих банков страны. Запущенный троян отправлял данные банковских карт или логины\пароли для входа в интернет-банкинг на сервер злоумышленникам. После этого киберпреступник переводил деньги на заранее подготовленные банковские счета суммами от 12 до 30 тысяч рублей за один перевод, вводя SMS-код подтверждения операции, перехваченный с телефона жертвы. Сами пользователи не подозревали, что стали жертвами — все SMS-подтверждения транзакций блокировались[79]. Приложение распространялось через спам-рассылки, на форумах и через официальный магазин GooglePlay. Впервые активность вредоносной программы была зафиксирована в 2016 году[80].

Фишинг — Братья Попелыши

При содействии Group-IB оказались за решеткой братья-близнецы Дмитрий и Евгений Попелыши из Санкт-Петербурга, которые в течение несколько похищали деньги с банковских счетов клиентов онлайн-банкинга ведущих банков страны, перехватывая идентификационные данные клиентов с помощью поддельной — фишинговой — страницы. Дело стало первым в российском практике процессом против преступников, использовавших фишинговые схемы [81].

Первые атаки на клиентов банков 23-летние Попелыши вместе с 19-летним калининградским хакером Александром Сарбиным совершили в 2010 году[82]. Преступники заражали компьютеры пользователей вирусом Trojan.Win32.VKhost, который при переходе к официальному интернет-банкингу одного из крупнейших российских банков перенаправлял клиента на фишинговую страницу. Здесь, под предлогом смены политики безопасности пользователю предлагалось ввести логин, пароль и код подтверждения со скретч-карты банка. Используя эти данные, преступники выводили деньги через подлинный сайт дистанционного банковского обслуживания (ДБО). С 2010 по 2011 год группе братьев Попелышей удалось снять 13 млн рублей со счетов более 170 клиентов банков из 46 регионов страны.

Весной 2011 года Попелышей задержали, однако злоумышленники отделались весьма мягким приговором. В сентябре 2012 года Чертановский районный суд Москвы приговорил их к шести годам лишения свободы условно с испытательным сроком 5 лет. Даже пока шло расследование и судебный процесс братья снова грабили клиентов банка — в общей сложности в период с марта 2013 по май 2015 года группировка Попелышей получила доступ к более чем 7 000 счетов клиентов различных российских банков и похитили более 12,5 млн рублей. [82]. Попелышей снова задержали в мае 2015 года в ходе совместной спецоперации МВД и ФСБ в Петербурге. В качестве экспертов при обыске участвовали представители отдела расследований и киберкриминалисты Group-IB. Когда полицейский спецназ выпиливал металлическую дверь квартиры, где жили Попелыши, братья в панике пытались смыть в туалете полмиллиона рублей, флешки и сим-карты. На случай полицейской облавы у братьев был заготовлен даже электромагнитный излучатель для размагничивания компьютерных дисков[83]. В июне 2018 года Савеловский суд Москвы приговорил Евгения и Дмитрия Попелышей к 8 годам лишения свободы, их сообщники получили от 4 до 6 лет[84].

Задержана группа «телефонных» мошенников

В феврале 2019 года оперативники ГУ МВД по городу Москве при участии экспертов Group-IB обезвредили группу «телефонных» мошенников, которая на протяжении нескольких лет обманом вымогала у пожилых людей деньги — от 30 000 до 300 000 рублей, обещая солидную компенсацию за совершенную ранее покупку лекарственных средств, медицинских приборов или биологически активных добавок (БАДов)[85]. Как считает следствие, придумал и реализовал мошенническую схему 35-летний житель подмосковного Домодедово, уроженец республики Азербайджан. В состав группы, кроме лидера, входили «звонари», общавшиеся с пенсионерами по телефону, «кассиры», контролирующие транзакции, «обнальщики», снимавшие наличные деньги в банкоматах и даже специалист, отвечающий за актуальность и сохранность базы данных с телефонами потенциальных жертв[86]. Возбуждено уголовное дело по ч.4 ст. 159 УК РФ (Мошенничество). Задержаны 7 человек. По данным следствия, ущерб от 7 эпизодов мошенничества оценивается в 10 млн рублей, однако оперативники уверены, что количество жертв гораздо больше — не менее трех десятков человек[87].


Примечания

  1. Competitive Landscape: Threat Intelligence Services, Worldwide, 2017
  2. Russia Threat Intelligence Security Services 2016 Market Analysis and 2017–2021 Forecast. IDC: The premier global market intelligence company. Проверено 31 июля 2018.
  3. Vendor Landscape: External Threat Intelligence, 2017. Проверено 31 июля 2018.
  4. Cale Guthrie Weissman. Defenders of the web: The people behind 7 influential security companies. Business Insider, 1.05.2015
  5. 1 2 Криминалисты из интернета: как устроено главное в России кибердетективное агентство. Фото | Бизнес | Forbes.ru (англ.) ?. www.forbes.ru. Проверено 8 августа 2018.
  6. Игорь Королев. Интерпол победил хакеров с помощью российского частного сектора. CNews, 29.04.2016
  7. Пресечена деятельность преступной группы, похитившей более $150 млн в системах ДБО. Интерфакс, 20.03.2012
  8. Настя Черникова. Случай в Интернете. Esquire Россия, № 121, апрель 2016
  9. Group-IB запускает первый российский CERT. Security Lab, 25.10.2011
  10. Координационный центр национального домена сети Интернет. Компетентные организации.
  11. Group-IB и Оргкомитет Сочи 2014 сообщают об успешной защите олимпийской символики и билетной продукции в Интернете. CNews, 25.04.2014
  12. Сериал «Игра престолов» стал самым популярным у российских пиратов. РИА Новости, 14.11.2013
  13. Татьяна Короткова. Qiwi и Group-IB объединили усилия для защиты электронных платежей. CNews, 10.04.2013
  14. Market Guide for Security Threat Intelligence Services. Gartner, 2014
  15. Рейтинг крупнейших софтверных компаний России по версии «РУССОФТ», 23.09.2015
  16. Ростех :: Новости :: Ростех защитит от киберугроз. 19.01.2015
  17. Серик Сабеков. «Самрук-Казына» повышает уровень кибербезопасности. Казинформ, 15.09.2016
  18. Криминалисты из интернета: как устроено главное в России кибердетективное агентство | Forbes.ru
  19. Leta Group продала свой кибер-детективный бизнес. Владислав Мещеряков. CNews, 31.10.2013
  20. Ъ-Газета — Роман Рожков. Group-IB дождалась инвесторов 15.08.2016 Газета «Коммерсантъ» № 147 от 15.08.2016, стр. 10
  21. Андрей Фролов. Российские специалисты по информбезопасности Group-IB продали 20 % компании фондам Altera и Run Capital. vc.ru, 15.08.2016
  22. Europol signs agreement with Group-IB to cooperate in fighting cybercrime | Europol. 17.06.2015
  23. EC3 Programme Board | Europol
  24. Trusted Introducer. Accredited Teams
  25. FIRST Team: CERT-GIB
  26. , Group-IB в проекте OWASP — защита промышленных систем. Byte Россия. 08.04.2013
  27. OASIS Cyber Threat Intelligence (CTI) — Products
  28. สจล. ร่วมมือยักษ์ไอทีรัสเซียยกระดับไซเบอร์ซีเคียวริตี้ไทย. МХ Phone, 25.07.2016
  29. 1 2 Group-IB и Интерпол договорились о совместной борьбе с киберпреступностью - РИА Новости, 02.11.2017
  30. Competitive Landscape: Threat Intelligence Services, Worldwide. Gartner, 2015
  31. Group-IB — Расследование киберпреступлений и компьютерная криминалистика
  32. Шерифы виртуальности. Журнал «Компания», 05.11.2012 (недоступная ссылка). Проверено 8 апреля 2014. Архивировано 6 апреля 2014 года.
  33. Итоги «Премии Рунета» 2013 года 22.11.2013 Константин Панфилов.
  34. Стали известны шортлисты Премии Рунета 2015. theRunet, 03.11.2015
  35. Предприниматель года 2015
  36. Forbes 30 Under 30 2016: Enterprise Tech
  37. https://www.bfm.ru/news/340112 - Стало известно имя победителя международного конкурса EY «Предприниматель года 2016» в России
  38. Подведены итоги национального этапа конкурса EY «Предприниматель года 2017» в России – ВЕДОМОСТИ. www.vedomosti.ru. Проверено 31 июля 2018.
  39. Подведены итоги Премии Рунета 2017
  40. Thai bank shuts down half its ATMs after 'Eastern European cyber-gang' heist —
  41. Hackers target ATMs across Europe as cyber threat grows
  42. Cobalt: Логические атаки на банкоматы
  43. Юлия Титова. Хакеры изменили курс рубля на 15 % с помощью вируса. РБК, 08.02.2016
  44. Jake Rudnitsky, Ilya Khrennikov. Russian Hackers Moved Ruble Rate With Malware, Group-IB Says. Bloomberg, 08.02.2016
  45. Павел Кантышев. Хакерская ловушка. Газета «Ведомости», № 4036, 18.03.2016
  46. Ilya Khrennikov. New Russian Hacker Cell Hit 13 Banks Since August, Group-IB Says. Bloomberg, 17.03.2016
  47. Отчет Group-IB «Buhtrap: эволюция целенаправленных атак на банки», март 2016
  48. Павел Седаков, Дмитрий Филонов. Брать по-крупному: группировка хакеров ограбила более 50 банков. Forbes Россия, 22.12.2014
  49. 1 2 Отчет Group-IB «Тенденции развития преступности в области высоких технологий 2015»
  50. Татьяна Алешкина. Хакеры изобрели новую схему воровства денег из банкоматов. РБК, 18.11.2015
  51. Павел Кочегаров, Александр Раскин. Хакеры ИГИЛ зачастили в российский интернет. Газета «Известия», 20.10.2015
  52. Специалисты Group-IB доказали связь Lazarus с Северной Кореей и изучили инструментарий группы - «Хакер» (рус.), «Хакер» (30 мая 2017). Проверено 8 августа 2018.
  53. Lazarus: архитектура, инструменты, атрибуция. www.group-ib.ru. Проверено 8 августа 2018.
  54. Group IB fingers Lazarus as being behind recent SWIFT attacks (англ.), SC Media US (30 May 2017). Проверено 8 августа 2018.
  55. Lazarus: архитектура, инструменты, атрибуция. www.group-ib.ru. Проверено 8 августа 2018.
  56. Group-IB: новые атаки Cobalt подтверждают связь с Anunak, CNews.ru. Проверено 31 июля 2018.
  57. Group-IB сообщила о новых атаках хакеров Cobalt на ведущие банки России и СНГ (рус.), ТАСС. Проверено 31 июля 2018.
  58. Глава хакеров Сobalt арестован, атаки продолжаются (рус.), vestifinance.ru. Проверено 31 июля 2018.
  59. Cobalt Renaissance: новые атаки и совместные операции. www.group-ib.ru. Проверено 31 июля 2018.
  60. Group-IB: новые атаки Cobalt подтверждают связь с Anunak. Проверено 31 июля 2018.
  61. Арест лидера не прекратил деятельность группы Cobalt: хакеры атаковали крупные банки России и СНГ - «Хакер» (рус.), «Хакер» (29 мая 2018). Проверено 31 июля 2018.
  62. В Group-IB сообщили, что за хакерской атакой на ПИР Банк стоит группа MoneyTaker (рус.), ТАСС. Проверено 31 июля 2018.
  63. ПИР для хакеров // Газета "Коммерсантъ". — 2018-06-07. С. 1.
  64. Греф раскрыл атаковавших ПИР-банк хакеров (рус.), Известия (6 июля 2018). Проверено 31 июля 2018.
  65. Group-IB: ПИР Банк был атакован хакерской группой MoneyTaker. Проверено 31 июля 2018.
  66. Group-IB: за хакерской атакой на "ПИР Банк" стоит группа MoneyTaker (рус.), vestifinance.ru. Проверено 31 июля 2018.
  67. Group-IB: За атакой на «ПИР Банк» стоит группировка MoneyTaker, CNews.ru. Проверено 31 июля 2018.
  68. Эксперты сообщили о росте утечек данных пользователей с криптобирж (рус.), ТАСС. Проверено 1 августа 2018.
  69. США, Россия и Китай стали лидерами по атакам на криптобиржи (1 августа 2018). Проверено 1 августа 2018.
  70. Ирина Юзбекова. Киберпятница в полиции. Газета «РБК Daily», № 228(1761), 09.12.2013
  71. Tara Seals. Blackhole’s Paunch Sentenced to 7 Years in Russian Penal Colony. InfoSecurity Magazine, 19.04.2016
  72. Пресечена деятельность преступной группы, похитившей более $150 млн в системах ДБО. Интерфакс, 20.03.2012
  73. Fahmida Y. Rashid. Russian Authorities Claim Capture of Mastermind Behind Carberp Banking Trojan. SecurityWeek, 04.04.2013
  74. Иван Шадрин. Хакер, укравший 150 млн рублей, работал с 25 сообщниками. РИА Новости, 22.06.2012
  75. Жанна Ульянова. Разоблачены хакеры, которые похитили деньги у 1,6 млн пользователей. Газета. Ru, 04.06.2012
  76. МВД, Сбербанк и Group-IB поймали кибермошенников, похитивших в банках 123 млн рублей. NewsRu.Com, 5.06.2012
  77. Кибер-фашисты из Челябинской области использовали вирус «5 рейх». РЕН ТВ, 13.05.2015
  78. Хакер из Волгограда, "заразив" банковское приложение, ежедневно похищал до 500 тыс. рублей (рус.), ТАСС. Проверено 31 июля 2018.
  79. Хакеры зарабатывали до полумиллиона в день // Коммерсантъ. — 2018-05-24.
  80. Фейковое банковское приложение позволяло волгоградскому хакеру воровать до 500 000 рублей ежедневно. Проверено 31 июля 2018.
  81. Дело о фишинге: как ловили хакеров-близнецов из Санкт-Петербурга. РИА Новости, 21.12.2012
  82. 1 2 Хакеры-близнецы Попелыши сели в тюрьму со второго раза. Проверено 31 июля 2018.
  83. Братья по кибероружию. www.group-ib.ru. Проверено 31 июля 2018.
  84. Кибермошенники осуждены в Москве за кражу денег через интернет-кабинеты банков (рус.), Interfax.ru (19 июня 2018). Проверено 31 июля 2018.
  85. В столице задержали действовавших от лица «прокурора Москвы» мошенников. РБК. Проверено 25 февраля 2019.
  86. Светлана Храмова. В Москве раскрыли схему обмана пенсионеров. Известия (15 февраля 2019). Проверено 25 февраля 2019.
  87. Абонент недоступен. www.group-ib.ru. Проверено 25 февраля 2019.

Ссылки

Данная страница на сайте WikiSort.ru содержит текст со страницы сайта "Википедия".

Если Вы хотите её отредактировать, то можете сделать это на странице редактирования в Википедии.

Если сделанные Вами правки не будут кем-нибудь удалены, то через несколько дней они появятся на сайте WikiSort.ru .



Текст в блоке "Читать" взят с сайта "Википедия" и доступен по лицензии Creative Commons Attribution-ShareAlike; в отдельных случаях могут действовать дополнительные условия.

Другой контент может иметь иную лицензию. Перед использованием материалов сайта WikiSort.ru внимательно изучите правила лицензирования конкретных элементов наполнения сайта.

2019-2024
WikiSort.ru - проект по пересортировке и дополнению контента Википедии