Блог Group-IB

[Skyment]

Коллеги, кто интересует тематикой кибербезопасности и, соответственно, киберпреступностью, приглашаю для ознакомления данный ресурс: http://blog.group-ib.ru/

Цитата:

Знаем о киберпреступности всё.
Рассказываем самое интересное.

Здесь также будут публиковаться интересные материалы с блога.

---------- Ответ добавлен в 18:17 ----------Предыдущий ответ был в 18:16 ----------

Ну и самое актуальное на текущий момент:

Цитата:

Это было похоже на глобальную эпидемию: всего за три дня вирус-шифровальщик WannaCry атаковал 200 000 компьютеров в 150 странах мира. Вирус прошелся по сетям университетов в Китае, заводов Renault во Франции и Nissan в Японии, телекоммуникационной компании Telefonica в Испании и железнодорожного оператора Deutsche Bahn в Германии. Из-за заблокированных компьютеров в клиниках Великобритании пришлось отложить операции, а региональные подразделения МВД России — не смогли выдавать водительские права.

Те, кто запустил WannaCry, за эти дни заработали всего $43 000. Сумма для киберпреступников смешная. Для сравнения: один из взломщиков, чью деятельность расследовала Group-IB, на кражах из интернет-банкинга зарабатывал $20 млн в месяц.
История вируса WannaCry — на самом деле не про деньги. Это демо-версия последствий будущей масштабной кибервойны. И она показала, насколько уязвим современный мир перед цифровым оружием из арсенала спецслужб и киберармий. Тем более, если оно оказалось не в тех руках.
Wanna Cryptor – целевая атака (APT)?
Нет, хотя APT-инструменты явно были задействованы.

С чисто технической точки зрения Wanna Cryptor – достаточно примитивная вредоносная программа. А вот заражение, как установили криминалисты Group-IB, происходит не через почтовую рассылку, а весьма необычным для шифровальщиков образом: WannaCry сам сканирует сеть на предмет уязвимых хостов и, используя сетевую уязвимость ОС Windows, устанавливается на компьютеры. Этим объясняет скорость распространения: вирус работает не по конкретным целям, а «прочесывает» сеть и ищет незащищенные устройства.

WannaCry шифрует файлы, но не все, а наиболее ценные — базы данных, почту, архивы, потом блокирует компьютеры и требует выкуп за восстановление доступа к данным — $300-600 в биткоинах. К тому же, если зараженный компьютер подключен к локальной сети, вредоносная программа распространится и в ней тоже – отсюда и лавинообразный характер заражений.
...

Далее даны ответы на самые распространённые вопросы по теме.
Отсюда: http://blog.group-ib.ru/wannacryptor

[Skyment]

ГК Ростех и Group-IB будут вести совместный бизнес.

Цитата:

25го мая на форуме Цифровая индустрия промышленной России (ЦИПР) в Иннополисе (Республика Татарстан) состоялось подписание соглашений о сотрудничестве между Group-IB и предприятиями, входящими в ГК Ростех — Национальным Центром Информатизации (НЦИ) и «РусАйТиЭкспорт».

Согласно подписанному соглашению, Group-IB и НЦИ создадут совместное предприятие для развития продуктов и сервисов компании, а также их продвижения.

В рамках договоренностей, Group-IB предоставит в СП свои технологии. НЦИ в свою очередь будет продвигать продукцию на рынках присутствия ГК Ростех и возьмет на себя операционную деятельность, включая взаимодействие с органами государственной власти, сертификацию продукции и другие вопросы.

Создание СП позволит Group-IB внедрять для защиты объектов с критической информационной инфраструктурой:

систему Threat Intelligence, позволяющую в реальном времени отслеживать тренды в развитии угроз информационной безопасности, исходящих от подпольного сообщества киберпреступников, актуальных для конкретной отрасли, для грамотного распределения инвестиций в информационную безопасность на предприятии;
решения по обнаружению вторжений TDS и Polygon, позволяющие защищаться в том числе от ранее неизвестного вредоносного кода, а также детектировать целевые атаки на сетевые инфраструктуры организаций еще до того, как злоумышленники смогли нанести реальный ущерб;
систему защиты госпорталов Secure Portal, противодействующую несанкционированному доступу к личным кабинетам пользователей, использованию ботов (для подбора паролей и срыва онлайн-голосований), сбору данных о платежных картах и иных персональных данных;
аналитические системы безопасности с использованием больших данных.
...

http://www.group-ib.ru/media/gib-nci/

[kinoolog]

По-моему хорошая новость,что свои займутся технологиями. На мой взгляд,пора на замену Айфонам и Самсунгам тоже внедрять своё. Skyment,
еще есть идея,по безопасности в всемирной сети,как думаете,что если сделать аналог китайского Интернета,только свои,российские материалы?

[Skyment]

В 2016 году хакеры из группы Lazarus пытались украсть из банка Бангладеш $1 млрд. Но смогли вывести только $81 млн, потому что ошиблись в написании слова foundation. Здесь у банка в США возникли вопросы.
После этого они пытались шифроваться под русских хакеров, используя "русские" слова, написанные на латинице — "poluchit", "ssylka", "pereslat". Но и здесь подвело отсутствие лингвиста: в случае с командой "poluchit" значение слова противоречит осуществляемому действию — вместо этого должна была быть команда send ("отправлять").
Аналитики Group-IB знают гораздо больше, чем то, что хакеры плохо учились в школе. За группой Lazarus, предположительно, стоит Bureau 121, одно из подразделений Разведывательного Управления Генштаба КНА (КНДР). Мы смогли обнаружить расположение этой северокорейской хакерской группы Lazarus вплоть до конкретного IP-адреса.
1. В РБК подготовили краткий обзор ситуаци: http://www.rbc.ru/technology_and_med...7947cde6ba7f91
2. В нашем блоге — подробное описание хакерской группы и методов их работы: http://blog.group-ib.ru/lazarus
3. По запросу доступен наш очередной кибердетективный отчет со всеми вкусными подробностями.

[andreywest]

Цитата:

Сообщение от kinoolog

По-моему хорошая новость,что свои займутся технологиями. На мой взгляд,пора на замену Айфонам и Самсунгам тоже внедрять своё. Skyment,
еще есть идея,по безопасности в всемирной сети,как думаете,что если сделать аналог китайского Интернета,только свои,российские материалы?

Я хоть и патриот, но говорить про Российские технологии(про ОС и железо)- это абсурд и утопия. Ещё не мало десятков лет пройдёт когда мы сможем догнать мировые корпорации с соответствующими денежными вливаниями. А по поводу китайского интернета- вы наверное не обратили внимания

Цитата:

Вирус прошелся по сетям университетов в Китае

[kinoolog]

Так все взломы и идут потому что все комплектующие для техники и сама техника -иностранная....
Могли ли быть там какие-либо специально встроенные скрытые вирусы-собирающие данные?
Я не специалист,потому хочу Ваше мнение услышать-каким образом вирус проник во внутриведомственную сеть баз данных МВД?

---------- Ответ добавлен в 10:27 ----------Предыдущий ответ был в 10:25 ----------

Да,ещё я слышал есть МСВС для Минобороны и GosLinux для ФССП. Как считаете,можно подобные ОС создать и внедрить для работы в сети МВД?

[Citizen]

Примерно год, или два назад был информация от Лаборатории Касперского, в котором говорилось что в BIOS ПК имеется модуль позволяющий получить управление с любой точки. История не получила широкой огласки. Поэтому, теоретически считается уязвимость компьютеров в первую очередь связана с беспечностью пользователей и уязвимостью программного обеспечения.
С первым - это беда, притом по всему миру.
Со вторым - эксплойт с помощью которого была произведена массивная атака использовал именно уязвимость ПО. Такие уязвимости существуют и будут существовать, они неизбежны.
Как вирус попал в сети МВД, банков и т.д., то есть крупных корпораций? Из Интернета. Все эти корпоративные организации связаны с Интернетом. А дальше вирус уже сканировал сети корпораций и цеплял все то, что плохо защищено.
Можно ли сделать для МВД собственную ОС, к примеру на базе Linux?
Можно, и он будет гораздо менее уязвим чем комьпы под Windows. Но кто этим будет заниматься? Хотя В НИИ овцеводства и козоводства разработали альтернативу Windows – Ivan OC

[Skyment]

Цитата:

Сообщение от andreywest

Я хоть и патриот, но говорить про Российские технологии(про ОС и железо)- это абсурд и утопия.

Про ПО тоже?...
С другой стороны, на военном оборудовании чьё ОС стоит?
Россия упустила и почти полностью утратила конкурентность в высоких технологиях в 80-90-х годах прошлого столетия. И только несколько лет назад до власти дошёл уровень угрозы зависимости в этой области от единого монополиста.
Вы хотите за пару-тройку лет догнать то, что профукали за 30-ть лет?...

Но! Уровень наших специалистов далеко не хуже западных. А в некоторых вещах мы их превосходим значительно. Т.ч. - догоним!

Цитата:

Сообщение от Citizen

Как вирус попал в сети МВД, банков и т.д., то есть крупных корпораций? Из Интернета.

Всё проще! 100% заражённых машин с крякнутыми версиями ОС и ПО.
Ты писал про это:

Цитата:

Сообщение от Citizen

Примерно год, или два назад был информация от Лаборатории Касперского, в котором говорилось что в BIOS ПК имеется модуль позволяющий получить управление с любой точки.

Так вот десятка полтора лет назад был прецедент у одного из разработчиков ПО, который активно боролся с кряками своего продукта и его "пиратским" распространением. Решение было довольно оригинальным - в общий доступ были слиты несколько версий именно "крякнутого" ПО, которое время от времени получало некоторое обновление. В день "Х" все ПК с этим ПО дружно "дали дуба", т.к. нужный исполнительный код сложился в нужную конфигурацию и она сработала...
...и никто не говорит, что аналогичного нет в официальном ПО...
...это было в конце 90-х годов...

[Citizen]

Цитата:

Сообщение от Skyment

Про ПО тоже?...
Но! Уровень наших специалистов далеко не хуже западных. А в некоторых вещах мы их превосходим значительно. Т.ч. - догоним!

Вот с этим согласен). Правда, и их пытаются перетянуть. Года три назад, сына друга буквально "утащили".
А от истории с племянником вообще злость разбирает. Занимался человек проблемами измерения наночастиц. Разработка оказалась настолько удачной, что была номинирована из-за бугра, в рублях получалось около 3 миллионов. И сколько получил он? 30 тыс.деревянных. Плюнул на все и ушел к своему хобби сделав его работой, в ювелирку. Зарабатывает гораздо больше чем в институте.
С таким "бардаком" мы рискуем растерять и мозги....

[zzz12]

Цитата:

Сообщение от Skyment

Про ПО тоже?...
:

про ПО они сюда на поклон к нам идут. (причем компания в кот я работаю - это и авиация , промышленность и коммуникации) Ну или к индусам. Но это чревато ))

[Citizen]

Цитата:

Сообщение от Skyment

Про ПО тоже?...

Так вот десятка полтора лет назад был прецедент у одного из разработчиков ПО, который активно боролся с кряками своего продукта и его "пиратским" распространением. Решение было довольно оригинальным - в общий доступ были слиты несколько версий именно "крякнутого" ПО, которое время от времени получало некоторое обновление. В день "Х" все ПК с этим ПО дружно "дали дуба", т.к. нужный исполнительный код сложился в нужную конфигурацию и она сработала...
...и никто не говорит, что аналогичного нет в официальном ПО...
...это было в конце 90-х годов...

Историю помню, а ведь была известная фирма, вроде... но вспомнить не могу. А вообще, этот способ защиты и сейчас используется.

---------- Ответ добавлен в 13:04 ----------Предыдущий ответ был в 13:00 ----------

Цитата:

Сообщение от zzz12

про ПО они сюда на поклон к нам идут. (причем компания в кот я работаю - это и авиация , промышленность и коммуникации) Ну или к индусам. Но это чревато ))

Но увы, таких компаний очень мало .... И выживать им удается только если они полностью частные. А там где государство - начинаются кормушки. У нас уже Иннаполис в кормушку превращают (.

[zzz12]

Цитата:

Сообщение от Citizen

Но увы, таких компаний очень мало .... И выживать им удается только если они полностью частные..

речь идёт об иностранной компании, которая набирает IT -шников тут.(да,частная конечно) Их мало, но они многочисленные(по штату сотрудников).

---------- Ответ добавлен в 13:20 ----------Предыдущий ответ был в 13:08 ----------

Цитата:

Сообщение от Skyment

С другой стороны, на военном оборудовании чьё ОС стоит?

Астра?)

[Skyment]

Цитата:

Сообщение от Citizen

А вообще, этот способ защиты и сейчас используется.

Прикалываешься?...

Цитата:

Сообщение от Skyment

WannaCry шифрует файлы, но не все, а наиболее ценные

[Citizen]

Цитата:

Сообщение от Skyment

Прикалываешься?...

Можно и так сказать ). Даже с MicroSoft - устанавливаешь обновление и получаешь, на взломанной версии, синий экран. Почему все пользователи нелегальных версий и отключают обновление. При этом, критические именно обновления безопасности.

[Skyment]

Цитата:

Сообщение от andreywest

А по поводу китайского интернета- вы наверное не обратили внимания

Ну да, ну да...

Цитата:

Ранее сообщалось, что наибольшее число случаев инфицирования WannaCry приходится на Россию.
Большинство пострадавших от атак вымогательского ПО WannaCry, в середине мая поразившего более 400 тыс. компьютеров в свыше 150 странах мира, приходится на Китай, а не Россию, как это утверждалось ранее. К такому выводу пришли специалисты компании Kryptos Logic, управляющей так называемым «доменом-выключателем», зарегистрированным ее сотрудником, известным как MalwareTech.
Программист обнаружил, что вредонос обращается по адресу iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com и решил зарегистрировать домен, чтобы проследить его активность. Как выяснилось, адрес был зашит в коде вируса на тот случай, если его потребуется остановить.
Выводы Kryptos Logic основаны на числе запросов к «аварийному» домену, сделанных за последние две недели - в указанный период эксперты зафиксировали порядка 14-16 млн запросов. Как сообщалось ранее, 50-75% жертв WannaCry были расположены в РФ, но полученные данные указывают, что лидером по числу случаев инфицирования стал Китай (6,2 млн запросов). Далее следуют США (1,1 млн), Россия (1 млн), Индия (540 тыс.), Тайвань (375 тыс.), Мексика (300 тыс.), Украина (238 тыс.), Филиппины (231 тыс.), Гонконг (192 тыс.) и Бразилия (191 тыс.).
По словам экспертов, существует ряд причин, по которым число случаев заражения в Китае в шесть раз превысило показатели США и РФ. Одна из них заключается в том, что большинство пользователей в Китае используют системы, работающие на Windows 7 или Windows XP. Согласно статистике «Лаборатории Касперского», свыше 98% случаев инфицирования WannaCry приходятся на компьютеры под управлением Windows 7.
Вместе с тем, обнародованные Kryptos Logic данные стоит воспринимать с долей скепсиса, поскольку они включают запросы с общих IP-адресов, которые не могут быть отслежены только к одному компьютеру. Более того, после каждой перезагрузки зараженный WannaCry компьютер отправляет новый запрос к домену в попытке расшифровать файлы пользователя, что также влияет на точность оценок.

Отсюда: http://www.securitylab.ru/news/486379.php

[Citizen]

Жаль, что очень часто статьи Group-IB доступны только корпоративным пользователям, и нередко приходится получать их в обход ограничений. Что, при "отношениях" с такой фирмой не очень желательно. Лаборатории Касперского, к примеру, обычно представляют опубликованные материалы всем, в том числе и частным лицам.
Данное ограничение я так и не понял. В сфере информ технологий лиц, которые не желали бы выступать от имени корпораций, а действуют индивидуально всегда было больше, а теперь уж существенно больше чем тех, кто хоть и работает в фирмах, но по сути индивидуалисты.

[Skyment]

Цитата:

Сообщение от Citizen

Жаль, что очень часто статьи Group-IB доступны только корпоративным пользователям, и нередко приходится получать их в обход ограничений.

Давай свой е-мейл, я Тебя в список рассылки публикаций включу.
Кстати, кому ещё нужно - пишите. Только мне ПДн Ваши ещё нужны к мейлу, типа ФИО и мейл, всё.

[Citizen]

Цитата:

Сообщение от Skyment

Давай свой е-мейл, я Тебя в список рассылки публикаций включу.
Кстати, кому ещё нужно - пишите. Только мне ПДн Ваши ещё нужны к мейлу, типа ФИО и мейл, всё.

В личку или в тему ? )

[Skyment]

Цитата:

Сообщение от Citizen

В личку

Сюда. Уже включил в список.

[Citizen]

Спасибо. В рассылках такого рода я заинтересован. А исследования Group-IB заинтересовали всерьез.