Компания Group-IB, работающая в сфере расследований инцидентов информационной безопасности, рассекретила деятельность русскоязычной хакерской группировки MoneyTaker.

Сообщается, что MoneyTaker — это наименее изученная специалистами и практически не освещаемая в прессе команда сетевых злоумышленников. MoneyTaker атакует адвокатские конторы и производителей финансового программного обеспечения.

Группировка за полтора года провела 20 успешных атак на банки и другие юридические организации на территории США, России и Великобритании. В США средний ущерб от одной атаки составляет 500 тысяч долларов. В России средний объём извлечённых группой денежных средств в результате компрометации АРМ КБР (автоматизированное рабочее место клиента Банка России) — 72 млн рублей.

«Первая атака, с которой связана эта группа, была проведена весной 2016 года, когда из банка США были похищены деньги в результате получения доступа к системе карточного процессинга STAR компании FirstData. В августе 2016 года они успешно взломали один из банков в России, где использовали программу для автоматического перевода денег через систему межбанковских переводов Центрального банка России АРМ КБР», — сообщает Group-IB.

Исследуя инфраструктуру атакующих, специалисты Group-IB обнаружили, что участники MoneyTaker всегда стараются похищать внутреннюю документацию по работе с банковскими системами во всех странах: руководства администраторов, внутренние инструкции и регламенты, формы заявок на внесение изменений, журналы транзакций и т. п. Для проведения целенаправленных атак MoneyTaker используют распределённую инфраструктуру, которую сложно отследить.

Более подробно о деятельности группировки можно узнать здесь. 

Компания Group-IB предупреждает о новой волне атак мобильных троянов, замаскированных под приложения ведущих российских банков.

Специалисты зафиксировали массированную атаку на пользователей устройств под управлением операционной системы Android. Анализ показал, что вредоносные программы распространяются не через официальный магазин Google Play, а через рекламные объявления в поисковых системах. Ситуация ухудшается тем, что интенсивность нападений постоянно растёт.

Схема внедрения зловредов на мобильные аппараты россиян сводится к следующему. После ввода в поисковике запроса вида «скачать приложение банка ХХХ» в результатах отображаются ссылки на специально сформированные веб-страницы, через которые распространяются трояны, замаскированные под запрашиваемые банковские приложения.

«Качество приложений-подделок, как по дизайну, так и по механике заражения постоянно растёт, что сбивает с толку многих пользователей, не обращающих внимание на критичные детали: название домена, переадресацию на сторонний ресурс и др.», — говорят специалисты.

После проникновения на смартфон фальшивое банковское приложение запрашивает ряд разрешений, в том числе на чтение и отправку SMS. Далее запрашиваются логин и пароль от личного кабинета и реквизиты платёжной карты. В результате, в руках злоумышленников оказывается персональная информация, необходимая для хищения средств. Причём жертва даже не подозревает об осуществляемых транзакциях, поскольку SMS-уведомления перехватываются трояном. 

Сетевые злоумышленники постепенно переключают внимание с банковского сектора на инфраструктуру криптоиндустрии. Об этом свидетельствуют данные Group-IB, которые приводит сетевое издание «РИА Новости».

«Мы фиксируем рост количества инцидентов, связанных с воровством у пользователей данных криптокошельков с помощью вредоносных программ и вывода денег. Методы идентичны тем, что используются для атак на пользователей банковских приложений», — говорят эксперты.

Бум криптовалют привёл к тому, что сетевые мошенники всё активнее ищут новые способы нажиться на пользователях. Причём это не всегда выражается в непосредственной краже средств. К примеру, мы рассказывали об оригинальной атаке, в ходе которой киберпреступники «воруют» аппаратные ресурсы компьютеров жертв, осуществляя скрытый майнинг. Причём добыча криптовалюты в пользу атакующих производится в браузере, когда пользователь заходит на определённые сайты. Иными словами, установка вредоносного программного обеспечения на компьютер жертвы не производится.

Помимо вредоносных программ, активно используется компрометация адресов электронной почты, а также получение SIM-карты по поддельным документам для восстановления паролей и получения контроля над счётом в криптовалютных сервисах.

Ущерб от действий злоумышленников в сфере криптовалют уже достиг практически $170 млн. «Доход от атак на криптобиржи варьируется от 1,5 до 72 миллионов долларов, в то время как в результате успешной атаки на банк преступники в среднем зарабатывают всего 1,5 миллиона долларов», — отмечается в докладе Group-IB. 

Компания Group-IB, специализирующаяся в сфере расследований инцидентов информационной безопасности, обнародовала результаты очередного исследования рынка компьютерных преступлений в России.

Согласно представленным в отчете сведениям, финансовые показатели отечественного рынка киберпреступности в 2012 году составили 1,9 миллиардов долларов США. Для сравнения: годом ранее оборот мошеннических действий в Рунете был оценен в 2,3 млрд долларов. По мнению экспертов Group-IB, снижение объема рынка киберпреступности в стране обусловлено несколькими причинами, главными из которых являются сокращение хищений из систем онлайн-банкинга, внедрение финансовыми организациями современных защитных решений и проведение правоохранительными органами успешных операций по ликвидации преступных групп.

Особое внимание в опубликованном документе уделяется интернет-мошенничеству и спаму — направлениям, составляющим более половины криминального IT-рынка. В прошлом году российские сетевые аферисты сумели похитить около $615 млн; за ними следуют спамеры, которые заработали $786 млн; внутренний рынок Cybercrime to Cybercrime составил $261 млн; а DDoS — $110 млн.

С полной версией аналитического отчета Group-IB можно ознакомиться на сайте report2013.group-ib.ru. В документе рассматриваются актуальные угрозы информационной безопасности, анализируются тенденции интересов мира киберпреступности, даются статистические оценки упомянутого рынка, приводятся прогнозы относительно его изменения в ближайшее время (2014-2015 гг.).

Компания Group-IB представила отчет по противодействию использованию злоумышленниками доменных имен второго уровня .RU и .РФ в целях фишинга, несанкционированного доступа к информационным системам третьих лиц, распространения вредоносных программ и управления бот-сетями.

В период с января по июнь 2013 года специалистами центра быстрого реагирования на инциденты в сфере информационной безопасности CERT-GIB, созданного на базе компании Group-IB, было выявлено 896 вредоносных площадок, угрожающих безопасности пользователей Рунета. Всего за отчетный период регистраторами по запросу CERT-GIB было снято с делегирования 86% обнаруженных вредоносных доменов.

В опубликованном компанией отчете отмечается, что наибольшая доля обнаруженных доменов-нарушителей пришлась на ресурсы, распространяющие вредоносное программное обеспечение (50%), наименьшая — на ботнет-контроллеры (19%).

Ранее Group-IB было объявлено о получении от Фонда «Сколково» гранта в размере 21 млн рублей на создание глобальной системы противодействия киберкриминалу CyberCop. Разрабатываемое компанией решение представляет собой комплекс инструментов, направленный на выявление и нейтрализацию неправомерных действий в виртуальном пространстве. В его основе лежит технология мониторинга, сбора и анализа данных о способах подготовки и совершения киберпреступлений, выявления закономерностей и выработки алгоритмов превентивных мер, а также механизмов фиксации фактов и следов преступлений в Сети.

Реализация финансируемого Фондом «Сколково» проекта рассчитана на полтора года. Предполагается, что CyberCop позволит правоохранительным органам России и зарубежья бороться с киберкриминалом на самых тяжелых этапах процесса расследования — сборе доказательств, анализе полученной информации и поиске злоумышленников. Благодаря корреляции данных о компьютерных преступлениях, методах их совершения, сведений о причастных лицах, расследование будет вестись на основе полной информации. Как результат, система будет способствовать не только защите информации, но и непосредственному снижению самого уровня киберпреступности.

Специалисты компании Group-IB, оказывающей услуги в сфере информационной безопасности и занимающейся расследованием компьютерных преступлений, сообщили об обнаружении очередной критически опасной дыры в одном из самых популярных средств просмотра и работы с документами формата PDF - Adobe Reader.

Уязвимость теоретически обеспечивает возможность несанкционированного выполнения произвольного программного кода на удаленном компьютере. Для организации атаки злоумышленнику достаточно сформировать специальным образом PDF-файл, содержащий искаженные формы, и переслать его пользователю. Опасности подвержены приложения Adobe Reader десятой и одиннадцатой версий. Дополнительную информацию о найденной дыре можно найти в бюллетене безопасности Group-IB.

Продукты компании Adobe Systems часто попадают под прицел киберпреступников. Согласно последним результатам исследования вирусной активности, проведенного аналитиками "Лаборатории Касперского", на долю Adobe Reader приходится 25% всех хакерских атак, направленных на эксплуатацию брешей в коде программ. Как следствие, PDF-просмотрщик фигурирует на втором месте в TOP 5 уязвимых приложений при работе в Сети.

"Интернет сегодня среда весьма "агрессивная". Зараженным может оказаться практически любой сайт, и в результате посетители, у которых есть уязвимые приложения, становятся жертвами злоумышленников, — комментирует ведущий антивирусный эксперт "Лаборатории Касперского" Юрий Наместников. — Главная цель вирусописателей — это электронные счета или конфиденциальные данные пользователей, которые в конечном счете дают киберпреступникам возможность обналичить деньги. Поэтому злоумышленники используют все имеющиеся в их арсенале методы, чтобы доставить вредоносную программу на компьютер пользователя, и применение эксплойтов в этом случае один из самых популярных способов".

Во избежание неприятностей эксперты по IT-безопасности советуют пользователям следить за обновлением установленных на компьютере программных продуктов и своевременно устанавливать выпускаемые для них разработчиками апдейты.

Материалы по теме:

• Adobe Systems представила обновленное семейство приложений Acrobat XI;
• PHDays 2012: хакеры взломали Apple iOS, Windows XP и FreeBSD;
• В России разработают национальную стратегию кибербезопасности.

Источники:

• group-ib.ru, kaspersky.ru

Координационный центр национального домена сети Интернет и занимающаяся вопросами IT-безопасности российская компания Group-IB заключили соглашение о противодействии киберугрозам в доменах .РФ и .RU.

В рамках соглашения Group-IB будет выявлять случаи фишинга, несанкционированного доступа к информационным системам и распространения вредоносных программ с доменных имен, находящихся в зонах .РФ и .RU. При обнаружении нарушений специалисты компании будут анализировать полученные сведения и передавать их регистраторам для последующего прекращения делегирования таких доменов в соответствии с новыми правилами регистрации доменных имен. Подчеркивается, что поступающая к регистраторам информация будет носить исключительно рекомендательный характер.

Ранее Координационный центр заключил аналогичное соглашение с подразделением Лиги безопасного интернета - фондом "Дружественный Рунет".

Всего в 2011 году представителям администратора национальных доменов поступило более 40 обращений от пользователей с просьбой прекратить делегирование некоторых доменных имен. Все эти жалобы были переданы на рассмотрение регистраторам, так как Координационный центр не обладает полномочиями самостоятельного приостановления делегирования.

Материалы по теме:

• "Лаборатория Касперского" составила портрет типичного российского пользователя Сети;
• Каждый второй компьютер в России подвергается хакерским атакам;
• МВД России предупреждает о новой волне интернет-мошенничества;
• Киберпреступность в России набирает обороты.

Источник:

• кц.рф