Аналитические статьи

Если вы следите за новостями, то наверняка знаете о новой масштабной атаке на российские компании вируса-шифровальщика Troldesh (Shade), одного из самых популярных у киберпреступников криптолокеров. Только в июне Group-IB обнаружила более 1100 фишинговых писем с Troldesh, отправленных от имени сотрудников крупных авиакомпаний, автодилеров и СМИ. В этой статье мы рассмотрим криминалистические артефакты, которые можно найти после атаки Shade/Troldesh на носителе информации скомпрометированного устройства, а также сопоставим используемые атакующими тактики и техники с «MITRE ATT&CK». Автор - Олег Скулкин, ведущий специалист по компьютерной криминалистике Group-IB Troldesh, также известный под именами Shade, XTBL, Trojan.Encoder.858, Da...

Вот так раньше выглядела одна из визиток Игоря Михайлова, специалиста Лаборатории компьютерной криминалистики Group-IB. На ней — аппаратные ключи программ, которыми пользовался эксперт при проведении криминалистических экспертиз. Стоимость только этих программных продуктов превышает 2 миллиона рублей, а ведь есть еще бесплатное программное обеспечение и другие коммерческие продукты. Какой инструментарий выбрать для работы? Специально для читателей «Хабра» Игорь Михайлов решил рассказать о лучших программных и аппаратных средствах для компьютерной криминалистики. Автор — Игорь Михайлов, специалист Лаборатории компьютерной криминалистики Group-IB. Чемоданчик киберкриминалиста Компьютерная экспертиза исследует большое количество...

«Проще вообще мессенджеры запретить» Почему у государства не получится взломать Telegram и WhatsApp Фото: Петр Ковалев / ТАСС Во вторник, 4 октября, СМИ сообщили о начале работ над расшифровкой трафика мессенджеров для реализации «пакета Яровой». «Лента.ру» поговорила с экспертами и выяснила, почему власти не смогут перехватить и прочитать переписку пользователей Telegram, WhatsApp и Viber. Кто займется расшифровкой трафика мессенджеров Расшифровкой переписки в мессенджерах занимается компания Con Certeza, которая ищет для этого соответствующего подрядчика. От него требуется изучить возможность перехвата сообщений в WhatsApp, Viber, Facebook Messenger, Telegram и Skype. В Con Certeza считают, что доступ к переписке пользователей...

Новый вымогательский Project Shark даёт возможность потенциальным преступникам создавать своих собственных вымогателей, легко настраиваемых без необходимости иметь навыки в программировании и криптографии. Достаточно заполнить нужные поля и нажать на кнопку создания собственного вымогателя. Разработчики Shark RaaS будут удерживать 20% от платежей за выкуп и отдавать оставшуюся наибольшую часть дистрибьюторам-аффилятам. Любой желающий стать партнером-дистрибьютором [а также еще и подельником киберперступников!] по распространению крипто-вымогателей может просто зайти на сайт и, нажав на кнопку загрузки, загрузить файл PayloadBundle.zip. В этом архиве содержатся файлы: - Payload Builder.exe, - текстовая записка Readme.txt; - исполняемый...

ФБР: Инцидентов с Ransomware всё больше Защитите себя и свою организацию! Больницы, учебные заведения, государственные и местные органы власти, правоохранительные органы, предприятия малого бизнеса, крупные предприятия — это лишь некоторые из субъектов, пострадавших недавно от вымогателей — коварных вредоносных программ, которые шифруют или блокируют ценные цифровые файлы и требуют выкуп за их возвращение. Невозможность получить доступ к важной информации для организаций может иметь катастрофические последствия, например, если говорить об утрате конфиденциальной или служебной информации, о нарушении непрерывного производственного процесса, финансовых потерях, понесенных при восстановлении системы и файлов, и от пострадавшей репутации...

Этот пост о том, как обычный взлом обернулся муками совести и душевными терзаниями. Исходников будет не много, больше фоток и анализа. Итак, некто Вася работает «плохим парнем». Степень падения Васи такова, что средства на жизнь ему приносит поиск и разбор информации, доступ к которой был скомпрометирован вследствие неграмотного обслуживания, безалаберности или экономии на обслуживающем персонале. Так повелось с момента возникновения группы, где Вася проводит большую часть времени, его профилем является анализ добытых данных и составление некоторого отзыва, если того просит заинтересованное лицо. Будень московский Обычное московское утро, офис-подвал, кофе, Вася с друзьями обсуждает новый заказ от старого знакомого. Все...

Всем привет! Итак, после перерыва подготовил небольшой репорт-предостережение. Как стало мне известно не так давно, бОльшая часть виндовых сборок ZverCD позволяет получить доступ к удаленному компу, на котором установлена зверская сборочка. Злоумышленнику достаточно найти любой сканнер портов, просканировать интересующий диапазон IP-адресов на наличие открытого порта 4899, далее установить программу Radmin Viewer и пробовать приконнектиться к найденой айпишке. Я специально не пишу пароль, чтобы не стало больше придурков юзать эту вещь. Администрации готов сообщить пароль в ПМ. Вчера написал специалистам Лаборатории Касперского, жду результата (мой запрос отправлен на рассмотрение). Еще раз всех предостерегаю: используйте ТОЛЬКО...