Аналитические статьи

В четверг на мероприятии в Чикагском университете представлен проект квантового Интернета, как назвали его американские СМИ. Прототип междугородней линии связи с использованием механизмов квантовой физики будет построен в течение десяти лет. Это начало новой эры в телекоммуникациях, заявляют чиновники и ответственные лица США. Shutterstock/agsandrew В ноябре 2018 года президент США Дональд Трамп подписал Закон о Национальной квантовой инициативе. В феврале этого года под эгидой Министерства энергетики США представители 17 национальных лабораторий собрались для разработки ключевых пунктов плана по созданию национальной сети Интернет, базирующейся на принципах квантовой физики. Разработки требовали все аспекты новой технологии от...

В мае этого года Управлением «К» МВД России при содействии компании Group-IB был задержан 32-летний житель Волгоградской области, обвиняемый в хищениях денежных средств у клиентов российских банков при помощи фальшивого приложения для интернет-банкинга, на деле оказавшегося вредоносной программой — Android-трояном. Ежедневно с его помощью у пользователей похищали от 100 000 до 500 000 руб., часть украденных денег для дальнейшего обналичивания и сокрытия мошеннической деятельности переводилась в криптовалюту. Анализируя «цифровые следы» совершенных краж, специалисты Group-IB выяснили, что используемый в преступной схеме банковский троян был замаскирован под финансовое приложение «Банки на ладони», выполняющее роль «агрегатора» систем...

Подходит к концу первое полугодие, и мы решили вспомнить самые интересные кейсы из жизни JSOC, с которыми столкнулись в этом году. Встреча со «старым знакомым» киберпреступником в новом заказчике, вредоносный скрипт в Task Scheduler и загадка кривой настройки балансировщика – читаем и проникаемся под катом. Кадр из сериала South Park Мы узнали его по почерку За время существования JSOC мы сталкивались с разными ИТ-инфраструктурами и различными желаниями заказчика по покрытию мониторингом своего ИТ-ландшафта. Часто бывает, например, что заказчик хочет следить только за серверами, лишая себя возможности увидеть происходящее около контролируемого сегмента. Такой подход может вылиться в поздний детект атаки, когда скомпрометирована уже...

Если вы следите за новостями, то наверняка знаете о новой масштабной атаке на российские компании вируса-шифровальщика Troldesh (Shade), одного из самых популярных у киберпреступников криптолокеров. Только в июне Group-IB обнаружила более 1100 фишинговых писем с Troldesh, отправленных от имени сотрудников крупных авиакомпаний, автодилеров и СМИ. В этой статье мы рассмотрим криминалистические артефакты, которые можно найти после атаки Shade/Troldesh на носителе информации скомпрометированного устройства, а также сопоставим используемые атакующими тактики и техники с «MITRE ATT&CK». Автор - Олег Скулкин, ведущий специалист по компьютерной криминалистике Group-IB Troldesh, также известный под именами Shade, XTBL, Trojan.Encoder.858, Da...

Вот так раньше выглядела одна из визиток Игоря Михайлова, специалиста Лаборатории компьютерной криминалистики Group-IB. На ней — аппаратные ключи программ, которыми пользовался эксперт при проведении криминалистических экспертиз. Стоимость только этих программных продуктов превышает 2 миллиона рублей, а ведь есть еще бесплатное программное обеспечение и другие коммерческие продукты. Какой инструментарий выбрать для работы? Специально для читателей «Хабра» Игорь Михайлов решил рассказать о лучших программных и аппаратных средствах для компьютерной криминалистики. Автор — Игорь Михайлов, специалист Лаборатории компьютерной криминалистики Group-IB. Чемоданчик киберкриминалиста Компьютерная экспертиза исследует большое количество...

«Проще вообще мессенджеры запретить» Почему у государства не получится взломать Telegram и WhatsApp Фото: Петр Ковалев / ТАСС Во вторник, 4 октября, СМИ сообщили о начале работ над расшифровкой трафика мессенджеров для реализации «пакета Яровой». «Лента.ру» поговорила с экспертами и выяснила, почему власти не смогут перехватить и прочитать переписку пользователей Telegram, WhatsApp и Viber. Кто займется расшифровкой трафика мессенджеров Расшифровкой переписки в мессенджерах занимается компания Con Certeza, которая ищет для этого соответствующего подрядчика. От него требуется изучить возможность перехвата сообщений в WhatsApp, Viber, Facebook Messenger, Telegram и Skype. В Con Certeza считают, что доступ к переписке пользователей...

Новый вымогательский Project Shark даёт возможность потенциальным преступникам создавать своих собственных вымогателей, легко настраиваемых без необходимости иметь навыки в программировании и криптографии. Достаточно заполнить нужные поля и нажать на кнопку создания собственного вымогателя. Разработчики Shark RaaS будут удерживать 20% от платежей за выкуп и отдавать оставшуюся наибольшую часть дистрибьюторам-аффилятам. Любой желающий стать партнером-дистрибьютором [а также еще и подельником киберперступников!] по распространению крипто-вымогателей может просто зайти на сайт и, нажав на кнопку загрузки, загрузить файл PayloadBundle.zip. В этом архиве содержатся файлы: - Payload Builder.exe, - текстовая записка Readme.txt; - исполняемый...

ФБР: Инцидентов с Ransomware всё больше Защитите себя и свою организацию! Больницы, учебные заведения, государственные и местные органы власти, правоохранительные органы, предприятия малого бизнеса, крупные предприятия — это лишь некоторые из субъектов, пострадавших недавно от вымогателей — коварных вредоносных программ, которые шифруют или блокируют ценные цифровые файлы и требуют выкуп за их возвращение. Невозможность получить доступ к важной информации для организаций может иметь катастрофические последствия, например, если говорить об утрате конфиденциальной или служебной информации, о нарушении непрерывного производственного процесса, финансовых потерях, понесенных при восстановлении системы и файлов, и от пострадавшей репутации...

Этот пост о том, как обычный взлом обернулся муками совести и душевными терзаниями. Исходников будет не много, больше фоток и анализа. Итак, некто Вася работает «плохим парнем». Степень падения Васи такова, что средства на жизнь ему приносит поиск и разбор информации, доступ к которой был скомпрометирован вследствие неграмотного обслуживания, безалаберности или экономии на обслуживающем персонале. Так повелось с момента возникновения группы, где Вася проводит большую часть времени, его профилем является анализ добытых данных и составление некоторого отзыва, если того просит заинтересованное лицо. Будень московский Обычное московское утро, офис-подвал, кофе, Вася с друзьями обсуждает новый заказ от старого знакомого. Все...

Почему старые защитные механизмы не являются панацеей С течением времени полезность старых защитных механизмов снижается, но не потому, что они становятся менее эффективны сами по себе. Дело в том, что злоумышленники учатся обходить их, адаптируясь к условиям, в которых эти механизмы работают. Хорошим примером этого тезиса служит DEP (Data Execution Prevention), описание которого простыми словами пока еще есть в справке Windows. На диаграмме выше синим цветом обозначены уязвимости, для которых были выпущены эксплойты, чье действие свелось бы на нет включенным DEP. Зеленым цветом обозначены уязвимости, эксплуатации которых DEP воспрепятствовать не смог. Эти данные Microsoft показывают, что начиная с 2009 года, все больше и больше...

Всем привет! Итак, после перерыва подготовил небольшой репорт-предостережение. Как стало мне известно не так давно, бОльшая часть виндовых сборок ZverCD позволяет получить доступ к удаленному компу, на котором установлена зверская сборочка. Злоумышленнику достаточно найти любой сканнер портов, просканировать интересующий диапазон IP-адресов на наличие открытого порта 4899, далее установить программу Radmin Viewer и пробовать приконнектиться к найденой айпишке. Я специально не пишу пароль, чтобы не стало больше придурков юзать эту вещь. Администрации готов сообщить пароль в ПМ. Вчера написал специалистам Лаборатории Касперского, жду результата (мой запрос отправлен на рассмотрение). Еще раз всех предостерегаю: используйте ТОЛЬКО...