«Неожиданные герои»: как отладчик и видеоплеер помогли восстановить удаленное видео
В нашей работе бывают кейсы, которые не отпускают даже спустя годы. Как будто кто-то оставил след в твоей памяти, который невозможно стереть. Меня зовут Андрей Кравцов, я специалист Лаборатории цифровой криминалистики F6, и сегодня я хочу рассказать об одном таком случае из моей практики. Читать...
Срочно, фишинг! Как хакеры со стажем атакуют госорганы
В ноябре 2024 года сотрудники одной из российских государственных организаций обнаружили фишинговую рассылку и обратились за помощью к нашей команде. В ходе расследования мы выяснили, что атака – часть фишинговой кампании, нацеленной на сотрудников государственных организаций России и Белоруссии,...
Угрозы инфраструктуры с Linux. Разбираем попытки атак
Небо голубое, вода мокрая, а Linux — самая защищенная операционная система. С этим не поспоришь. Однако утверждать, что защита здесь работает на 100%, нельзя. Как минимум никто не застрахован от проблем с обновлением системы и ошибками конфигураций. Какие злоумышленники и для чего используют Linux?...
О чём не молчит Windows. Погружение в Windows Registry Forensic
Всем привет, Хабровчане! Думаю ни у кого не возникает сомнений в важности грамотной работы специалистов ИБ и ИТ служб, учитывая события недавних дней с ТК СДЭК, а также другие крупные взломы/утечки, которых было немало за последние пару, тройку лет. Обеспечение грамотной работы включает в себя...
Киберпреступник глазами российских психологов: черты, мотивы, ценности, отклонения
В сети много пишут о киберпреступлениях, но почти не уделяют внимания тем, кто их совершает. Если растиражированный образ анонимуса в капюшоне недостоверен, то кто эти люди на самом деле? Что ими движет? Чем они отличаются от законопослушных айтишников? С точки зрения психологии, киберпреступники...
Искусный MataDoor: как устроен и как действует новый опасный бэкдор, атакующий российскую оборонку
В 2022 году одна промышленная компания пригласила нас, специалистов PT Expert Security Center, расследовать киберинцидент. В ее скомпрометированной инфраструктуре мы обнаружили образцы не встречавшегося ранее вредоносного ПО. Дальнейший анализ показал, что это сложный модульный бэкдор с хорошо...
Попробуй спрячься: расширяем возможности обнаружения эксплуатации WinRM
Идея написать блог о том, как злоумышленники используют для перемещения в инфраструктуре жертвы возможности службы Windows Remote Management (WinRM) (Т1021.006), возникла у Антона Величко, руководителя Лаборатории компьютерной криминалистики компании F.A.C.C.T., еще в январе 2022 года. И виной тому...
Криминалист F.A.C.C.T. заявил, что новый IPhone 15 подвержен риску заражения шпионской программой Pegasus
Новость о взломе iPhone издателя «Медузы»* Галины Тимченко с помощью шпионской программы Pegasus не стала сенсацией для специалистов, которые уже много лет следят за разработкой от израильской компании NSO Group. И хотя сами разработчики утверждают, что создавали программу исключительно для благих...
Группировка Cloud Atlas — угроза для госсектора России и стран Азии и Восточной Европы
Специалисты нашего экспертного центра безопасности (PT Expert Security Center, PT ESC) отследили новую активность хакерской группировки Cloud Atlas: в III квартале 2022 года она организовала фишинговую атаку на сотрудников государственных ведомств России. Группа использует сложные тактики и...
Яндекс.Диск в качестве контрольного сервера: как мы обнаружили новые атаки группировки APT31 на российские компании
В апреле 2022 года мы выявили атаку на ряд российских организаций сферы медиа и ТЭК. В атаках злоумышленники использовали вредоносный документ с именем «список.docx», извлекающий из себя вредоносную нагрузку, упакованную VMProtect. Мы проанализировали пакет сетевой коммуникации и выяснили, что он...
99+ бесплатных инструментов для анализа зловредов
Знай своего врага ― одна из максим, которой руководствуются специалисты по информационной безопасности. Она касается и зловредов. Существуют сотни инструментов, которые помогают исследовать вредоносное ПО. К счастью, многие из них бесплатны и имеют открытый исходный код. Под катом мы собрали...
Выход на оперативный простор: чем криминалистам поможет книга Practical Memory Forensics
В британском издательстве Packt Publishing вышла новая книга криминалистов Group-IB — Светланы Островской и Олега Скулкина: “Practical Memory Forensics: Jumpstart effective forensic analysis of volatile memory”. Если у Олега это уже четвертое издание (интервью с ним читайте здесь), то Светлану...
70+ бесплатных инструментов для компьютерной криминалистики (форензики)
Расследование инцидентов в области информационной безопасности не такая горячая тема, как пентесты, но эта научная и практическая дисциплина продолжает развиваться, во многом, благодаря Open Source-сообществу. Давайте пройдемся по просторам GitHub и посмотрим, какие инструменты для сбора и анализа...
Олег Скулкин: «Мы начали следить за шифровальщиками, когда еще мало кто считал их серьезной угрозой»
Соскучились по нашему проекту “Киберпрофессии будущего”? Мы тоже. Возвращаем должок и продолжаем рассказывать о ведущих специалистах Group-IB, об их работе, исследованиях и реальных кейсах, о том, как они пришли в профессию, которой не было, и как научиться тому, что умеют они. В конце материала,...
Долговременные закладки в скрытых областях SSD
Динамическое изменение доступного пространства в SSD (для производительности). Синяя область скрыта от любых системных инструментов Покупая новый SSD, нельзя быть уверенным, что на нём нет закладок. К сожалению, простое форматирование не спасёт, потому что зловред прописывается в скрытых областях...
Очень темные дела: BlackMatter и его жертвы
Сегодня преступная группа BlackMatter объявила о закрытии своей партнерской программы из-за "давления со стороны властей". Однако, это не значит, что операторы и их партнеры прекратят атаки. Скорее всего, они присоединятся к другим программам RaaS или, как это случалось ранее, после ребрендинга...
Лже-Microsoft, McAfee и Google: как мы обнаружили APT-группу, маскирующую сетевую инфраструктуру под легитимные сервисы
На киберарене появился новый участник: специалисты PT Expert Security Center обнаружили ранее неизвестную преступную группировку. В России она пока нацелена на организации топливно-энергетического комплекса и авиационной промышленности. Злоумышленники используют на сегодняшний день достаточно...
Искусство кибервойны: как китайские группы TaskMasters и TA428 атакуют Россию
В середине мая 2021 года эксперты из SOLAR JSOC вместе с Национальным координационным центром по компьютерным инцидентам (НКЦКИ) выпустили отчет о серии целенаправленных атак, выявленных в 2020 году. Согласно исследованию, главной целью атакующих в России были федеральные органы исполнительной...
Назад