F.A.C.C.T.

2023-07-20 16:40:18 Пока отдельные энтузиасты строят майнинг-фермы, а власти и Центробанк обсуждают вопрос легализации криптовалют в России, киберпреступники прибегают к криптоджекингу — "подсаживанию" вредосного программного обеспечения, эксплуатирующего вычислительные мощности компьютера для добычи криптовалюты.

Весной аналитики Центра кибербезопасности F.A.C.C.T., обнаружили скрытую криптоджекинговую кампанию на сайте онлайн-словаря синонимов русского языка с посещаемостью более 5 миллионов визитов в месяц. Злоумышленники оставили "ловушку" — скрипт, тайно устанавливающий на компьютеры жертв ВПО для последующего скачивания майнера криптовалюты.

В новом блоге мы рассказываем, как эксперты F.A.C.C.T. обнаружили и исследовали киберпреступную кампанию с помощью решения для круглосуточного мониторинга, проактивного поиска киберугроз и противодействия атакам в режиме реального времени MXDR от F.A.C.C.T. Читать

#MXDR #криптоджекинг #по_факкту

@F_A_C_C_T Buka / Bagaimana

2023-07-17 10:05:30 RedCurl снова в деле: группа кибершпионов успешно атаковала российский банк.

В ноябре 2022 года специалисты Лаборатории цифровой криминалистики F.A.C.C.T. проводили реагирование на инцидент в крупном российском банке. Атакующие пытались "пробить" его дважды: сначала через фишинговые рассылки по сотрудникам, а потом — через подрядчика. Последняя атака увенчалась успехом, и внутри инфраструктуры банка криминалисты обнаружили цифровые следы "старых знакомых" из RedCurl.

Про RedCurl мы (тогда еще Group-IB) подробно рассказывали в отчетах "RedCurl. Пентест о котором вы не просили" и "RedCurl. Пробуждение". За последние четыре с половиной года RedCurl, по данным F.A.C.C.T., провела не менее 34 атак на компании из Великобритании, Германии, Канады, Норвегии, Украины, Австралии. Больше половины атак — 20 — пришлись на Россию.

В свежем блоге разбираем две новые атаки RedCurl, рассматриваем новые инструменты группы и делимся индикаторами компрометации. Читать

#RedCurl #кибершпионы

@F_A_C_C_T Buka / Bagaimana

2023-07-13 13:21:29 Новая рассылка вредоносных писем от кибершпионов XDSpy, о которой мы предупредили вчера, привлекла повышенное внимание СМИ и интерес со стороны российских вендоров из сферы кибербеза. Быстрый реверс и небольшие секреты атрибуции по горячим следам помогут специалистам узнать больше про эту опасную и очень осторожную группу, атакующую российские компании и организации то от лица МЧС, то Минобороны, то структур МИДа.

Итак, после обнаружения кампании 11 июля XDSpy Аветик Надирян, руководитель группы по выявлению и реагированию на киберинциденты Центра кибербезопасности F.A.C.C.T., провел первичный анализ рассылки для ее атрибуции и определения масштаба атаки, а затем к реверсу подключилась "тяжелая артиллерия" в лице Дмитрия Купина, ведущего специалиста по анализу вредоносного кода компании F.A.C.C.T. Их находки и индикаторы компрометации мы собрали в этом мини-исследовании

#CyberDefenceCenter #кибершпионы #XDSpy

@F_A_C_C_T Buka / Bagaimana

2023-07-12 12:03:48 Шпион, выйди вон: группа XDSpy атаковала российские организации от имени МЧС.

Центр кибербезопасности F.A.C.C.T. обнаружил 11 июля фишинговую рассылку вредоносных писем, проводимую кибершпионской группой XDSpy. Cистема для проактивного поиска и защиты от сложных и неизвестных киберугроз F.A.С.С.T. Managed XDR задетектила рассылку, нацеленную на российские организации, включая один из известных научно-исследовательских институтов.

В тексте письма получателей просят посмотреть список сотрудников компании, которые "могут симпатизировать группам, дестабилизирующим внутреннюю ситуацию в России". Отправители письма угрожают, что в случае отсутствия ответа, против сотрудников будут приняты юридические меры.

Под видом файла-приманки Spisok_rabotnikov.pdf со списком случайных людей загружается вредоносная программа, которая собирает чувствительные данные и документы с компьютера жертвы.

XDSpy пользовалась подобными техниками и раньше: в середине марта кибершпионы атаковали структуры МИДа России, а в октябре 2022 года — российские организации с фейковыми повестками от имени Минобороны.

Впервые группу XDSpy, атакующую организации России и Беларуси, обнаружил белорусский CERT в феврале 2020 года, хотя эксперты считают, что сама группа активна как минимум с 2011 года. Несмотря на долгую историю XDSpy, международные специалисты так и не определились, в интересах какой страны работает эта группировка. Большинство целей группы находятся в России — это правительственные, военные, финансовые учреждения, а также энергетические, исследовательские и добывающие компании.

#CyberDefenceCenter #кибершпионы #MXDR

@F_A_C_C_T Buka / Bagaimana

2023-07-11 17:02:15 Генеральный директор F.A.C.C.T. Валерий Баулин в студии AM Live.

После разделения Group-IB на рынке возникла масса вопросов, например, откуда взялось новое название компании F.A.C.C.T., как к диверсификации отнеслись клиенты и какие теперь планы у команды?

Из интервью Валерия Баулина становится понятно, что F.A.C.C.T. твердо стоит на ногах, клиентский портфель компании продолжает расти, команда успешно закрыла финансовый год, а все решения, входящие в Реестр отечественного ПО, по-прежнему на страже киберзопасности клиентов в России.

Хотите знать больше об актуальных киберугрозах для России и о том, какие технологии позволяют эффективно им противостоять — смотрите свежий выпуск AM Live

#интервью Buka / Bagaimana

2023-07-11 10:41:32 Российские компании атакуют рассылками с шифровальщиком PyCrypter под видом криптообменника с VPN.

Центр кибербезопасности F.A.C.C.T. зафиксировал массовую рассылку вредоносных писем, нацеленную на российские промышленные, транспортные и IT-компании. В письмах, перехваченных 9 июля автоматизированной системой защиты электронной почты Business Email Protection от F.A.С.С.T., получателям предлагают использовать приложение CryptoBOSS для работы с криптовалютой и VPN.

В сообщении рекламируют “безопасный и полностью анонимный доступ ко всем валютам”. Однако ссылка для скачивания бесплатной лицензии на самом деле ведет на загрузку шифровальщика PyCrypter. Любопытно, что домен, с которого загружается ВПО – crypto4boss[.]com совсем свежий, зарегистрирован 6 июля специально под атаку на пользователя с почтой vladymir.stojanov@hotmail[.]com

Эта учетная запись с юзернеймом Vladimir Stoyanov уже использовалась осенью 2022 года и весной 2023 года в рассылках другого шифровальщика — Cryptonite. Тогда в письмах от имени председателя правительства Михаила Мишустина предупреждалось об "атаке" некой шпионской программы, подготовленной "американскими IT- специалистами". От пользователей требовали скачать "программу от МВД", которая якобы удаляет ВПО и защищает от повторного заражения. Но на самом деле через ссылку Google Drive загружался шифровальщик. Теперь эта история повторяется уже в виде криптофарса. Ниже — индикаторы компрометации рассылки от 9 июля

IOCs:

Domain:
crypto4boss[.]com

Relevant sample SHA-256:
crypto4bossetup.exe – 2867f0ae09b771bcd9ad56b77eb5b9b2e6c4f4ce826a55a35d28dbbf88bd2392

#CyberDefenceCenter #BEP #шифровальщики

@F_A_C_C_T Buka / Bagaimana

2023-07-06 11:21:29 Не оставляем ни единого шанса киберпреступникам и открываем круглосуточный Центр кибербезопасности F.A.С.С.T. (Cyber Defence Center). Новая структура обеспечит непрерывное реагирование в режиме 24/7 на сложные кибератаки и проактивное обнаружение угроз. Сейчас расскажем, как это работает.

В Центре кибербезопасности F.A.С.С.T. структурно выделены две линии поддержки. Первая ведет круглосуточный мониторинг алертов, анализ инцидентов и атрибуцию киберугроз до преступной группы или конкретного злоумышленника на основе собственных данных киберразведки F.A.C.C.T. Threat Intelligence.

Вторая линия поддержки ЦК F.A.С.С.T. фокусируется на проактивном выявлении следов киберпреступников в инфраструктуре клиентов, а также осуществляет активное реагирование на инциденты и противодействие атакующим. Таким образом обеспечивается защита компаний от сложных целевых атак с участием финансово-мотивированных киберкриминальных групп, в том числе шифровальщиков, или прогосударственных хакеров.

Хотите узнать больше? Подробности на сайте

#по_факкту #CyberDefenceCenter

@F_A_C_C_T Buka / Bagaimana

2023-07-04 17:08:16 Успейте зарегистрироваться на курс "Тестирование на проникновение", который стартует уже на следующей неделе! Специалисты F.A.C.C.T. расскажут, какие подходы используют злоумышленники, как они действуют, как проводить полноценную разведку, использовать ее результаты и защитить инфраструктуру от различных угроз.

Все подробности и условия здесь

#курсы #обучение #по_факкту

@F_A_C_C_T Buka / Bagaimana

2023-06-29 18:33:32 Сегодня в Минске проходит совместная конференция компаний F.A.C.C.T. и "Позитив Вью" — "Антифрод 2023: Тенденции развития мошеннической активности в Республике Беларусь". Среди участников — представители банков и правоохранительных органов, а на повестке — актуальные киберугрозы и противодействие мошенничеству в финансовом секторе России и Беларуси.

Хотя встреча проходит за закрытыми дверями, некоторые интересные детали нам удалось узнать

Финансовый фишинг недооценен: число выявленных сайтов выросло в 10-12 раз из-за автоматизации и масштабирования преступных схем.

Стремительно растет количество попыток перехвата учетных записей пользователей в сервисах дистанционного банковского обслуживания, например, под предлогом отмены заявки на получение кредита на сайте банка. 
 
Атаки в финансовом секторе с использованием социальной инженерии выросли в два раза в первом квартале текущего года по сравнению с аналогичным периодом 2022 года.

Одной из причин подобного роста атак является рекордный рост числа опубликованных утечек и распространения различного вредоносного ПО, например, стилеров, программ-шпионов и мобильных троянов. 

Закономерный вопрос от банковского сектора: как этому противостоять? Использовать технологии для защиты как мобильных, так и веб-каналов клиентов от финансового мошенничества.

Участникам конференции продемонстрировали на примерах, как работает решение F.A.C.C.T. Fraud Protection: сразу после запуска пользователем сервиса онлайн-банкинга проводит при помощи алгоритмов машинного обучения обезличенный поведенческий анализ данных системы, установленного языка, активности мыши или трекпада и клавиатуры. Если "цифровой отпечаток" пользователя не совпадает с легитимным, в банк поступает сигнал о подозрительном входе в систему ДБО, и финансовая организация уже оперативно реагирует на инцидент по собственным протоколам. В России, кстати, F.A.C.C.T. Fraud Protection занимает лидирующие позиции по продажам в финансовом секторе среди всех решений компании. Стоит перенять опыт.

#по_факкту Buka / Bagaimana

2023-06-29 17:38:13 Buka / Bagaimana