По сообщениям сетевых источников, 22 июня в Казахстане по запросу США был задержан Никита Кислицин, глава департамента F.A.C.C.T. (бывшая Group-IB), отвечающий в компании за развитие бизнеса сетевой безопасности. Несколькими днями позднее Тверской суд Москвы санкционировал арест Кислицина, обвиняемого в неправомерном доступе к охраняемой законом компьютерной информации (ч. 3 ст. 272 УК РФ).

Источник изображения: Sasun Bughdaryan/unsplash.com

«На данный момент Никита Кислицин находится в Казахстане под временным задержанием под стражей для изучения основания для экстрадиционного ареста по запросу США», — сообщил представитель пресс-службы F.A.C.C.T. Также известно, что Россия намерена добиваться экстрадиции Кислицина.

В 2020 году Минюст США объявил Кислицина одним из подозреваемых по делу российского хакера Евгения Никулина, которого обвинили во взломе LinkedIn, Dropbox и Formspring. По данным ведомства, Кислицин был причастен к взлому соцсети Formspring, хищению данных пользователей и попытке продажи украденной информации. В Group-IB эти обвинения называли бездоказательными, отмечая, что претензии американских властей касаются периода, когда Кислицин не работал в компании.

В России Кислицина обвиняют в неправомерном доступе к охраняемой законом информации. Минимальным наказанием по этой статье является штраф в размере 500 тыс. рублей, а максимальным — заключение под стражу сроком на 5 лет. Представитель F.A.C.C.T отметил, что претензии к топ-менеджеру не касаются его работы в компании, а связаны с событиями десятилетней давности, когда Кислицин работал журналистом и занимался независимыми расследованиями. Кислицин в 2006–2012 годах был главным редактором журнала «Хакер».

«Мы убеждены, что законных оснований для задержания на территории Казахстана нет. Компанией наняты адвокаты, которые оказывают Никите всю необходимую помощь с прошлой недели, также нами направлено обращение в генеральное консульство РФ в Казахстане для содействия в защите нашего сотрудника», — сказано в сообщении F.A.C.C.T.

Компания Group-IB, занимающаяся исследованием киберпреступности и организацией защиты от киберугроз, перечислила самые значимые риски в новом, 2023 году в свежем отчёте «Эволюция киберпреступности. Анализ, тренды и прогнозы 2022/2023». По мнению экспертов, программы-вымогатели останутся приоритетной угрозой для бизнеса. Будут использовать и другие способы нанесения ущерба информационным системам компаний.

Источник изображения: Nahel Abdul Hadi/unsplash.com

В числе важнейших киберугроз для бизнеса важнейшую роль по-прежнему будут играть программы-шифровальщики. По данным экспертов, интересна эволюция подобных групп, стоящих за их распространением — они всё больше напоминают классические стартапы с системой обучения, найма, мотивации, внутренней иерархией и даже отпусками.

Активно развиваются партнёрские программы Ransomware-as-a-Service (RaaS), предусматривающие продажу или даже сдачу вредоносного ПО в аренду. В 2023 году мелкие группы, как и в прежние годы, будут распадаться, участники будут переходить в более крупные структуры.

При этом во второй половине 2021 года — первой половине 2022 на 83 % выросло число сайтов (Dedicated Leak Sites, DLS), предназначенных для публикации похищенных данных компаний для повышения эффективности давления на жертв. Хотя приоритетными целями являются компании из США, в прошлом году в три раза выросло число атак шифровальщиков на российский бизнес с целью получения выкупа, но достоверно оценить масштаб проблемы не представляется возможным.

Важно, что в последнее время в публичное пространство попало много популярных у вымогателей инструментов, неожиданно отмечено и использование в качестве шифровальщиков вполне легальных программ для защиты дисков вроде BitLocker. Ещё один тренд — уничтожение информационной инфраструктуры без требований выкупа, по политическим или иным мотивам.

Важным трендом на теневом рынке в следующем году будет продажа доступа к скомпрометированным корпоративным сетям. Рынок доступов стремительно растёт, а средняя цена доступа продолжает снижаться. «Чаще всего злоумышленники реализуют свой «товар» в виде доступов к VPN и RDP (протокол удалённого рабочего стола)», — заявляют в Group-IB.

Источник изображения: Mika Baumeister/unsplash.com

В тройку наиболее продаваемого товара в даркнете попали и программы-стилеры, просачивающиеся на компьютеры жертвы через инфицированный файл. Атаки в основном не целевые, но затрагивает большие группы пользователей и позволяют получать всевозможные данные, от логинов и паролей до доступа к мессенджерам и криптовалютным кошелькам. Стилеры стали активно использоваться и в атаках на корпорации с ростом популярности удалённой работы и сервисов единого входа (SSO). На некоторых платформах такие программы раздаются «доброжелателями» даже бесплатно. По оценкам Group-IB, стилеры являются второй по значимости угрозой после шифровальщиков.

В текущем году компания прогнозирует рост утечек корпоративных баз данных. По имеющимся сведениям, в 2022 году на фоне геополитических конфликтов во многих случаях российские базы выкладывались в свободный доступ бесплатно, с целью нанести ущерб бизнесам и их клиентам. Под удар попали структуры всевозможного профиля, от телеком-операторов до медицинских компаний — число слитых в Сеть строк только за летние месяцы исчисляется сотнями миллионов. Предполагается, что по мере нарастания интенсивности противостояния будет нарастать и накал борьбы в киберпространстве.

Компания Group-IB сообщила о завершении первого этапа отделения российских активов от международного бизнеса. Для работы в России и СНГ сформирована новая полностью автономная структура, управление которой передано локальному руководству.

Источник изображений: pixabay.com

Group-IB специализируется на разработке решений для детектирования и предотвращения кибератак, выявления мошенничества, расследования высокотехнологичных преступлений и защиты интеллектуальной собственности. Штаб-квартира находится в Сингапуре, а центры исследования киберугроз расположены на Ближнем Востоке (Дубай), в Азиатско-Тихоокеанском регионе (Сингапур), в Европе (Амстердам) и в России (Москва).

Решение о диверсификации бизнеса продиктовано сложившейся геополитической ситуацией. Российская структура отныне будет развиваться самостоятельно: данный шаг в числе прочего означает полное разделение финансовых потоков российских и международных активов Group-IB. Выручка компании в РФ будет полностью расходоваться на локальные задачи и проекты. В течение следующих шести месяцев также будет изменена структура собственности и состав акционеров в глобальных и локальных активах.

В компании подчеркивают, что каждое региональное подразделение Group-IB самодостаточно и обладает необходимой технологической инфраструктурой, а также штатом экспертов, способных обеспечивать функционирование ключевых направлений бизнеса. Вместе с тем компания намерена ускорить программу обмена экспертизой и релокации, начатую в 2019 году одновременно с открытием глобальной штаб-квартиры в Сингапуре.

«Диверсификация бизнеса позволит Group-IB действовать более гибко и стратегически независимо в каждом регионе присутствия, предлагая клиентам лучшие в своём классе решения, позволяющие учитывать локальную специфику ландшафта угроз», — говорится в сообщении.

Специализирующаяся на вопросах кибербезопасности компания Group-IB обнаружила в открытом доступе в Сети около 400 000 баз данных. Больше всего их выявлено в США, Китае, Германии, Франции и Индии, однако и Россия по числу подобных угроз также попала в десятку.

Источник изображения: Gerd Altmann / pixabay.com

Исследование, в ходе которого было выявлено огромное число уязвимых ресурсов, проводилось с I квартала 2021 по март 2022 года. Уже к концу прошлого года эксперты Group-IB насчитали более 300 000 открытых баз данных. Примерно 7 500 выявленных уязвимых ресурсов были размещены на российских серверах. В целом специалисты по кибербезопасности отметили некоторую неповоротливость администраторов российских ресурсов: если в среднем по всему миру изъятие уязвимой базы данных из общего доступа производится за 170 дней, то в России этот процесс занимает в среднем 250 дней.

Общедоступная база данных представляет лёгкую добычу для хакеров. Помимо утечек персональных данных она может стать орудием в руках злоумышленников, которые используют конфиденциальную информацию в качестве отправной точки для полномасштабной кибератаки и проникновения на прочие ресурсы организации. Проблемными цифровыми активами чаще всего оказываются размещённый на заброшенных облачных сервисах уязвимый софт, базы данных с неверной конфигурацией, а также развёрнутые недостаточно квалифицированными специалистами веб-серверы.

Подобные ошибки обходятся дорого: только за прошлый год средняя стоимость утечки данных выросла с $3,86 до $4,24 млн, а общая сумма штрафов за нарушения действующего в Европе Общего регламента защиты персональных данных (GDPR), по версии IBM, составила $1,2 млрд.

Один из ведущих разработчиков решений для детектирования и предотвращения кибератак, а также выявления мошенничества Group-IB оценил ущерб для клиентов российских банков от новой мошеннической схемы с использованием подложных платежных систем в 3,15 млрд руб., пишет РБК со ссылкой на сообщение компании.

Источник изображения: Pixabay

По данным Group-IB, от использования схемы, впервые зафиксированной в конце 2020 года, пострадали клиенты банков, банки-эмитенты, онлайн-сервисы или магазины, а также платёжные системы.

Разработанная более десяти лет назад технология 3-D Secure, поддерживаемая всеми платёжными системами, «являлась синонимом безопасности», пока мошенники не научились подделывать 3-D Secure страницы, сообщили в Group-IB.

Злоумышленники завлекали пользователей с помощью мошеннической рекламы, спам-рассылок и публикаций на доске объявлений. Попадая на фишинговую страницу интернет-магазина или онлайн-сервиса, пользователь указывал в форме приёма платежа реквизиты банковской карты.

Данные поступали на сервер мошенника, откуда далее шло обращение к P2P-сервисам банков с указанием в качестве получателя одной из карт злоумышленника. От P2P-сервиса на сервер мошенника следовало служебное сообщение с информацией о банковской карте плательщика, сумме перевода, названии и реквизитах использованного сервиса. Далее жертву перенаправляли вместо настоящей на подложную 3-D Secure-страницу.

Владельцу карты банк отправлял SMS-код для подтверждения платежа, который после ввода пользователем на фишинговой странице поступал к мошеннику. В итоге мошенник указывал код на легитимном сервере для подтверждения платежа.

Мошенничество с имитацией страниц относится к так называемому Card-Not-Present-мошенничеству (CNP, операции по карте без её присутствия). С момента его первого выявления в России в конце 2020 года обманутыми пользователями ежедневно осуществлялось 11 767 платежей. «Суммарно это 8,6 млн руб. в день, что привело к ущербу в 3,15 млрд руб. за отчётный период, исходя из среднего размера транзакции, умноженного на количество выявленных операций на фишинговых платежных страницах», — сообщили в Group-IB.

По словам экспертов, опасность использования подложных платежных систем со страницей 3-D Secure состоит в том, что их достаточно сложно выявить — они часто содержат логотипы международных платежных систем Visa, Mastercard или российской «Мир» и не вызывают подозрений у покупателей.