Аналитические статьи

Сегодня речь пойдёт о технологии распределённой сети VPN Gate, своего рода недруга Поднебесной в области интернет цензуры. На Хабре много статей на тему SoftEther VPN (нижележащий слой VPN Gate), но нет ни одной технически всесторонней статьи про саму распределённую сеть и такое чувство, что в рунете про неё вообще забыли. VPN Gate — академический эксперимент Дайу Нобори с 2013-го года. Проект представляет собой интернет-сервис научных исследований в Высшей Школе Университета Цукуба, Япония. Цель данного исследования заключается в расширении знаний «Глобальных распределенных открытых ретрансляторов VPN». Отличительной особенностью данной сети является её функционирование в виде роя. То есть каждый желающий пользователь может...

Исследователи провели технический эксперимент, протестировав десять вариантов программ-вымогателей, чтобы определить, насколько быстро они шифруют файлы, и оценить возможность своевременного реагирования на их атаки. Программа-вымогатель — это вредоносное ПО, которое перечисляет файлы и каталоги на скомпрометированной машине, выбирает допустимые цели шифрования, а затем шифрует данные, поэтому они недоступны без соответствующего ключа дешифрования. Это не позволяет владельцу данных получить доступ к файлам, поэтому атаки программ-вымогателей осуществляются либо для уничтожения данных и нарушения работы, либо для финансового вымогательства с требованием выплаты выкупа в обмен на ключ дешифрования. Скорость шифрования устройства важна...

Вредоносная программа Emotet теперь распространяется через вредоносные пакеты Windows App Installer, которые выдают себя за программное обеспечение Adobe PDF. Emotet - это печально известное вредоносное ПО, которое распространяется через фишинговые письма и вредоносные вложения. После установки он будет красть электронные письма жертв для других спам-кампаний и развертывать вредоносные программы, такие как TrickBot и Qbot, которые обычно приводят к атакам программ-вымогателей. Злоумышленники, стоящие за Emotet, теперь заражают системы, устанавливая вредоносные пакеты с помощью встроенной функции Windows 10 и Windows 11, называемой установщиком приложений. Ранее исследователи видели, что этот же метод использовался для распространения...

В наши дни ни месяца не проходит без новостей о новой крупной атаке криптовымогателей. Поначалу сумма выкупа составляла всего несколько сотен долларов, но теперь возросла до миллионов. Как же мы дошли до такой ситуации, когда наши данные и сервисы могут быть захвачены с требованием выкупа? А если единственная атака позволяет заработать миллионы долларов, то закончится ли это когда-нибудь? История Ransomware Доктор Джозеф Попп, работавший над исследованиями области биологии, известен и как первый человек, потребовавший выкуп с помощью компьютерного программного обеспечения. В декабре 1989 года Попп разослал по почте 20 тысяч гибких дисков с подписью «Информация о СПИДе — ознакомительная дискета» сотням медицинских исследовательских...

Тысячи незащищённых баз данных, выставленных на всеобщее обозрение в интернете, стали мишенью автоматизированной атаки Meow («мяу»), которая уничтожает данные без каких-либо объяснений, пишет Bleeping Computer. Впервые атака была замечена на прошлой неделе, когда начали исчезать БД в инстансах Elasticsearch и MongoDB без каких-либо записок с пояснениями или требований выкупа. Затем атаки распространились на другие типы БД и на файловые системы, открытые для общего доступа в интернет. Быстрый поиск в Shodan показывает тысячи БД, затронутых этой атакой. Эти атаки подтолкнули исследователей к гонке на поиск открытых БД, чтобы предупредить владельцев до того, как БД будет уничтожена. Одним из первых публично известных примеров атаки...

В мае этого года Управлением «К» МВД России при содействии компании Group-IB был задержан 32-летний житель Волгоградской области, обвиняемый в хищениях денежных средств у клиентов российских банков при помощи фальшивого приложения для интернет-банкинга, на деле оказавшегося вредоносной программой — Android-трояном. Ежедневно с его помощью у пользователей похищали от 100 000 до 500 000 руб., часть украденных денег для дальнейшего обналичивания и сокрытия мошеннической деятельности переводилась в криптовалюту. Анализируя «цифровые следы» совершенных краж, специалисты Group-IB выяснили, что используемый в преступной схеме банковский троян был замаскирован под финансовое приложение «Банки на ладони», выполняющее роль «агрегатора» систем...

Если вы следите за новостями, то наверняка знаете о новой масштабной атаке на российские компании вируса-шифровальщика Troldesh (Shade), одного из самых популярных у киберпреступников криптолокеров. Только в июне Group-IB обнаружила более 1100 фишинговых писем с Troldesh, отправленных от имени сотрудников крупных авиакомпаний, автодилеров и СМИ. В этой статье мы рассмотрим криминалистические артефакты, которые можно найти после атаки Shade/Troldesh на носителе информации скомпрометированного устройства, а также сопоставим используемые атакующими тактики и техники с «MITRE ATT&CK». Автор - Олег Скулкин, ведущий специалист по компьютерной криминалистике Group-IB Troldesh, также известный под именами Shade, XTBL, Trojan.Encoder.858, Da...

Вот так раньше выглядела одна из визиток Игоря Михайлова, специалиста Лаборатории компьютерной криминалистики Group-IB. На ней — аппаратные ключи программ, которыми пользовался эксперт при проведении криминалистических экспертиз. Стоимость только этих программных продуктов превышает 2 миллиона рублей, а ведь есть еще бесплатное программное обеспечение и другие коммерческие продукты. Какой инструментарий выбрать для работы? Специально для читателей «Хабра» Игорь Михайлов решил рассказать о лучших программных и аппаратных средствах для компьютерной криминалистики. Автор — Игорь Михайлов, специалист Лаборатории компьютерной криминалистики Group-IB. Чемоданчик киберкриминалиста Компьютерная экспертиза исследует большое количество...

«Проще вообще мессенджеры запретить» Почему у государства не получится взломать Telegram и WhatsApp Фото: Петр Ковалев / ТАСС Во вторник, 4 октября, СМИ сообщили о начале работ над расшифровкой трафика мессенджеров для реализации «пакета Яровой». «Лента.ру» поговорила с экспертами и выяснила, почему власти не смогут перехватить и прочитать переписку пользователей Telegram, WhatsApp и Viber. Кто займется расшифровкой трафика мессенджеров Расшифровкой переписки в мессенджерах занимается компания Con Certeza, которая ищет для этого соответствующего подрядчика. От него требуется изучить возможность перехвата сообщений в WhatsApp, Viber, Facebook Messenger, Telegram и Skype. В Con Certeza считают, что доступ к переписке пользователей...

Новый вымогательский Project Shark даёт возможность потенциальным преступникам создавать своих собственных вымогателей, легко настраиваемых без необходимости иметь навыки в программировании и криптографии. Достаточно заполнить нужные поля и нажать на кнопку создания собственного вымогателя. Разработчики Shark RaaS будут удерживать 20% от платежей за выкуп и отдавать оставшуюся наибольшую часть дистрибьюторам-аффилятам. Любой желающий стать партнером-дистрибьютором [а также еще и подельником киберперступников!] по распространению крипто-вымогателей может просто зайти на сайт и, нажав на кнопку загрузки, загрузить файл PayloadBundle.zip. В этом архиве содержатся файлы: - Payload Builder.exe, - текстовая записка Readme.txt; - исполняемый...

ФБР: Инцидентов с Ransomware всё больше Защитите себя и свою организацию! Больницы, учебные заведения, государственные и местные органы власти, правоохранительные органы, предприятия малого бизнеса, крупные предприятия — это лишь некоторые из субъектов, пострадавших недавно от вымогателей — коварных вредоносных программ, которые шифруют или блокируют ценные цифровые файлы и требуют выкуп за их возвращение. Невозможность получить доступ к важной информации для организаций может иметь катастрофические последствия, например, если говорить об утрате конфиденциальной или служебной информации, о нарушении непрерывного производственного процесса, финансовых потерях, понесенных при восстановлении системы и файлов, и от пострадавшей репутации...

Этот пост о том, как обычный взлом обернулся муками совести и душевными терзаниями. Исходников будет не много, больше фоток и анализа. Итак, некто Вася работает «плохим парнем». Степень падения Васи такова, что средства на жизнь ему приносит поиск и разбор информации, доступ к которой был скомпрометирован вследствие неграмотного обслуживания, безалаберности или экономии на обслуживающем персонале. Так повелось с момента возникновения группы, где Вася проводит большую часть времени, его профилем является анализ добытых данных и составление некоторого отзыва, если того просит заинтересованное лицо. Будень московский Обычное московское утро, офис-подвал, кофе, Вася с друзьями обсуждает новый заказ от старого знакомого. Все...

Всем привет! Итак, после перерыва подготовил небольшой репорт-предостережение. Как стало мне известно не так давно, бОльшая часть виндовых сборок ZverCD позволяет получить доступ к удаленному компу, на котором установлена зверская сборочка. Злоумышленнику достаточно найти любой сканнер портов, просканировать интересующий диапазон IP-адресов на наличие открытого порта 4899, далее установить программу Radmin Viewer и пробовать приконнектиться к найденой айпишке. Я специально не пишу пароль, чтобы не стало больше придурков юзать эту вещь. Администрации готов сообщить пароль в ПМ. Вчера написал специалистам Лаборатории Касперского, жду результата (мой запрос отправлен на рассмотрение). Еще раз всех предостерегаю: используйте ТОЛЬКО...