Рубрика «cybercrime»

Веста Матвеева — эксперт в области информационной безопасности компании Group-IB, признанной изданием Business Insider UK одной из 7 самых влиятельных мировых организаций в индустрии кибербезопасности. За 6 лет она провела десятки экспертиз — технических разборов инцидентов в роли криминалиста, после чего перешла в отдел расследования и раскрыла несколько дел.

Веста приехала в Университет Иннополис по приглашению преподавателей и студентов программы магистратуры Разработка безопасных систем и сетей в рамках курса CyberCrime and Forensics. Гостья прочла лекцию о том, как глобализируется киберпреступность, какие тактики и инструменты используются для атак на финансовые и промышленные организации и какими методами пользуются киберкриминалисты для борьбы с хакерами.

image
Читать полностью »

Известно несколько кибергрупп, специализирующихся на краже средств у российских компаний. Мы наблюдали атаки с применением лазеек в системах безопасности, открывающих доступ в сети целевых объектов. Получив доступ, атакующие изучают структуру сети организации и развертывают собственные инструменты для кражи средств. Классический пример этого тренда – хакерские группировки Buhtrap, Cobalt и Corkow.

image

Группа RTM, которой посвящен этот отчет, является частью данного тренда. Она использует специально разработанные вредоносные программы, написанные на Delphi, которые мы рассмотрим подробнее в следующих разделах. Первые следы этих инструментов в системе телеметрии ESET обнаружены в конце 2015 года. По мере необходимости группа загружает в зараженные системы различные новые модули. Атаки нацелены на пользователей систем ДБО в России и некоторых соседних странах.

Читать полностью »

Black Hat USA 2016 — конференция, собирающая вместе лучшие умы в области безопасности (хакеров и ЦРУшников), чтобы определить, в каком будущем мы будем жить. Что было в Вегасе, то остается в Вегасе. Но все же до нас дошли видеозаписи 120 докладов.

image

Я немного подсуетился и выбрал личный список топ-18 самых интересных докладов, которые, возможно, стоит перевести на русский и опубликовать на Хабре.

Социальная инженерия, DDoS, лингвистические особенности телефонных мошенников, страхование в области ИБ, Dragons&Dungeons для кибербезопасности, атаки по сторонним каналам, много (черного) юмора, дроны.
Предлагайте свои варианты, какой доклад самый интересный, может я что-то упустил.
Читать полностью »

Два года назад мы писали про арест главного автора SpyEye, который известен под псевдонимом Gribodemon (Александр Панин). Все это время уроженец Твери ожидал суда и вынесения приговора в американской тюрьме. Известный американский security-журналист Brian Krebs указывает в своем блоге, что Панин и его «бизнес-партнер» алжирец Hamza Bendelladj (Bx1) получили 24 года на двоих. Панин получил девять с половиной лет, а Bx1 пятнадцать. Если первый был создателем самого трояна, то второй специализировался на его продаже.

Авторам SpyEye дали 24 года на двоих - 1

Про SpyEye было написано уже достаточно много, так что нет смысле повторять это еще раз. Стоит отметить, что до того, как т. н. полнофункциональные crimeware toolkits были еще редкостью, Zeus и SpyEye определили формат этого бизнеса как такового. Клиенту продавался готовый инструмент для создания ботнета и централизованного выкачивания денег из подвергшихся компрометации жертв путем кражи данных онлайн-банкинга. Далее украденные средства различными порциями распределялись по счетам злоумышленников и также порциями обналичивались с использованием т. н. денежных мулов.

Читать полностью »

Brian Krebs, автор блога о взломах, хакерах, вирусах и другом, что связано с компьютерной безопасностью, не так давно написал пост о мошеннических колл-центрах. Что интересно, в статье описаны не те колл-центры, которые работают для обмана «своих» жертв, а те, которые работают, обманывая «чужих» клиентов за комиссию от звонка, т.е. колл-центры, которые работают на аутсорс.
Такой себе «CCCCaaS» – «Cyber-Crime-Call-Center-as-a-Service». Термин мой, родился при написании данной статьи (к тому же, аббревиатура «CCaaS» в интернете уже занята такими понятиями как «Contact-Center-as-a-Service» и «Customer-Care-as-a-Service»).
Второй особенностью таких онлайн-бизнесов является их принадлежность к постсоветскому пространству.

Ниже художественный перевод данной статьи (замечания просьба писать в личные сообщения).

image
Читать полностью »

На этой неделе мы писали про критическое обновление MS15-034 для драйвера http.sys на Windows 7+ (включая Windows 10 TP). Злоумышленник с использованием специально сформированного заголовка запроса HTTP-протокола может удаленно исполнить код, организовать DoS-атаку или уронить систему в BSOD как на клиентских так и на серверных выпусках Windows. Сам драйвер http.sys загружается Windows на самых ранних этапах и отвечает за реализацию логики работы HTTP-протокола (реализует прикладной уровень модели OSI в Windows).

Уязвимость CVE-2015-1635 (MS15-034) эксплуатируется in-the-wild - 1

Напрямую эта уязвимость относится к серверным выпускам Windows, поскольку службы IIS, которые отвечают за механизмы реализации веб-сервера, используют этот драйвер для открытия и обслуживания HTTP-портов входящих подключений, которые и могут быть использованы для компрометации системы. Однако, на некоторых современных клиентских выпусках Windows (в зависимости от конфигурации системы и ее сервисов), работающие сервисы также могут открывать HTTP-порты для прослушивания входящих подключений.

Читать полностью »

С конца прошлого года мы начали отслеживать новую вредоносную кампанию по распространению банковского трояна. Злоумышленники ориентировались на компрометацию российских компаний, т. е. корпоративных пользователей. Вредоносная кампания была активна как минимум год и кроме банковского трояна, злоумышленники прибегали к использованию других различных программных инструментов. К ним относятся специальный загрузчик, упакованный с использованием NSIS, и шпионское ПО, которое замаскировано под известное легитимное ПО Yandex Punto. Как только злоумышленникам удалось скомпрометировать компьютер жертвы, они устанавливают туда бэкдор, а затем банковскую троянскую программу.

Злоумышленники используют комплексное вредоносное ПО для атак на российский бизнес - 1

Читать полностью »

Файлы конфигурации веб-инжектов продаются различными лицами на подпольных хакерских форумах. Многие из этих лиц являются членами киберпреступных групп, либо имеют тесные связи с ними. Большинство кодеров веб-инжектов полагаются на один и тот же фиксированный формат конфигурационного файла (Рис.2). В то же время, некоторые авторы банковских троянов снабжают свои изделия специальными конвертерами различных форматов файлов веб-инжектов. Например, банковский троян Gataka содержит в своем составе подобный конвертер для преобразования конфигурационного файла стандартного типа (SpyEye) в свой внутренний формат.

Эволюция веб-инжектов, часть 2 - 1

Поскольку спрос на качественные веб-инжекты растет, их предложение со стороны авторов также увеличивается. Самим авторам веб-инжектов необходимы инструменты для облегчения процесса разработки и тестирования веб-инжектов. Примером такого инструмента является известный «билдер» или Config Builder, который был частью утекших исходных текстов Carberp. Он позволял задавать исходные параметров веб-инжекта на входе и получать конфигурационный файл на выходе.

Читать полностью »

В настоящее время файлы веб-инжектов взяты на вооружение во многих банковских вредоносных программах и используются как средство для осуществления финансового мошенничества. Этот механизм работы вредоносных программ изначально был распространен в единичных экземплярах и находился в зависимости от того или иного семейства вредоносных программ. За последние несколько лет веб-инжекты стали использоваться как часть целой киберпреступной экосистемы, в которой независимые их разработчики продают свои изделия операторам ботнетов.

Эволюция веб-инжектов, часть 1 - 1

Такой рынок продажи подобных услуг можно наблюдать на многочисленных подпольных форумах, где мы видим все большее количество предложений от киберпреступников по продаже комплектов веб-инжектов. Они включают в себя все необходимые возможности для проведения банковского мошенничества, включая, механизмы обхода специальных мер безопасности, которые банки используют для обеспечения безопасности счетов пользователей.

Читать полностью »

В прошлом году мы писали о том, что правоохранительные органы США объявили в розыск автора известной банковской вредоносной программы Zeus. С использованием этой вредоносной программы были украдены сотни миллионов долларов с банковских счетов у пользователей по всему миру, а сам бот уже давно породил большое количество своих клонов. Недавно ФБР увеличили награду за информацию, ведущую к его поимке до суммы в $3 млн. Это максимальная награда, которая когда-либо объявлялась для фигурантов кибер-дел (cyber).

За поимку автора Zeus назначена максимальная награда - 1

Фигурант под псевдонимом «slavik» известен в преступном мире уже давно и упоминается как автор одних из самых ранних версий Zeus. В начале прошлого года мы также писали про поимку правоохранителями другого киберпреступника. Речь идет об авторе другой банковской троянской программы SpyEye под псевдонимом «Gribodemon». Этот бот был основан на исходных текстах Zeus.

Читать полностью »