标签: Group-IB

尽管领袖被捕,Cobalt 黑客组织仍然活跃

俄罗斯安全公司 Group-IB 近期发现,专门窃取银行和金融机构资金的 Cobalt 黑客组织仍然活跃,尽管其领导人于两个月前在西班牙被捕,但其成员仍在继续针对世界各地的金融组织及其他公司发起新的攻击活动。 这项新活动是从上周 23 日开始的,当时 Group-IB 安全专家发现了 Cobalt 的钓鱼电子邮件,用来针对俄罗斯和其他前苏联国家的银行。根据 Group-IB 分享的报告显示,这种钓鱼邮件被设计伪装成卡巴斯基实验室的安全警报, 诱使用户访问恶意网站,从而感染 CobInt 木马。 Group-IB 公司表示,尽管 Cobalt 的领导人被捕,但该组织仍然拥有不容忽视的黑客力量,因为其成员短期内似乎并没有计划停止对银行的攻击行动。 消息来源:Bleeping Computer,编译:榆榆,审核:吴烦恼; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

俄罗斯 Group-IB 联合多家安全公司协助乌克兰警方取缔 DDoS 犯罪团伙

外媒 3 月 8 日消息,网络安全公司 Group-IB 联合其他企业共同协助乌克兰警方取缔一个在全球发起众多勒索事件的 DDoS 犯罪团伙。据悉,该团伙参与 DDoS 攻击和勒索的时间长达两年之久。 Group-IB 的调查行动从 2015 年 9 月开始,其安全人员在调查中发现该犯罪团伙曾对国际在线交友服务网站 AnastasiaDate 发起了 DDoS 攻击,造成 AnastasiaDate 的网站被迫关闭了几个小时,随后犯罪人员以停止攻击为条件威胁该网站支付 1 万美元的赎金 。除此此外,该团伙还针对一些在线商店、支付系统以及提供博彩、彩票和博彩服务的网站发起 DDoS 攻击。例如乌克兰欺诈案的受害者(包括美国公司租赁数据中心和托管设施 Stafford Associated、以及 PayOnline 在线支付服务)。 目前 Group-IB 的网络安全专家已经确定了该犯罪团伙并将其与两名乌克兰人 Gayk Grishkyan 和 Inna Yatsenko 联系起来。据悉,两名 DDoS 犯罪团伙成员对其罪行供认不讳,将会被判处有期徒刑 5 年。 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

俄罗斯黑客从美俄 ATM 窃取千万美元,下一目标锁定拉美银行

据媒体 12 月 12 日报道,俄罗斯网络安全公司 Group-IB 于 12 月 11 日表示,一个此前未被检测到的俄语黑客组织,在 2016-2017 年间通过瞄准银行转账系统,从至少 18 家银行机构中悄然窃取了近千万美元,这些金融机构大多为美国和俄罗斯的公司组织。该黑客组织发起的攻击始于 18 个月前,他们利用转账系统漏洞从银行的自动柜员机(ATM)中窃取钱财。Group-IB 警告称,目前针对银行的攻击似乎正在进行中,拉丁美洲的银行可能会成为下一个目标。 Group-IB 研究人员在一份长达 36 页的报告中指出,这一黑客组织首次攻击发生在 2016 年春季,针对的是美国最大的银行信息系统——美国银行 First Data 的“ STAR ”网络,该系统连接了超过 5000 家机构的ATM机。 图片来自 securityaffairs.co First Data 在一份声明中表示,在 2016 年早些时候,First Data 发现一些在“ STAR ”网络运营的小型金融机构的凭证曾违反了借记卡管理规定,导致 First Data 开始执行新的强制性安全数据控制措施。First Data 称,“ STAR ”网络从未被攻破。First Data 还称,其正在继续调查几起黑客研究如何通过 SWIFT 银行系统进行转账的事件,但没有说明黑客是否成功实施了此类攻击。 SWIFT 在去年 10 月表示,黑客仍在瞄准其银行间通讯系统,但在去年孟加拉国央行发生 8100 万美元劫案之后,银行间通讯系统加强了安全管控。 Group-IB 曾将黑客组织称为 “ 赚钱者(MoneyTaker)”。据悉,该黑客组织此前使用过名为 “ MoneyTaker ” 软件来劫持支付订单,然后通过一个低级的、名为 “ 金钱骡子(money mules)” 网络从自动柜员机中提取资金。 Group-IB 安全研究人员表示,他们已经确定 18 家银行机构受到了攻击,其中包括分布在美国 10 州的 15 家银行金融机构,两家俄罗斯银行以及一家英国银行。除银行外,金融软件公司和一家律师事务所也成为了攻击目标。 图片来自 securityaffairs.co Group-IB 称,在美国遭受攻击的 14 个 ATM 机上,每起被盗事件损失的资金平均为 50 万美元。俄罗斯每起事件平均损失为 120 万美元,但其中一家银行成功截获了一起攻击事件,并追回了部分被盗资金。 该报告称,这一黑客组织还窃取了拉丁美洲及美国 200 家银行所使用的 OceanSystems 美联储链接传输系统内的文件。此外,他们还成功地攻击了俄罗斯的银行间通讯系统—— AW CRB。 Group-IB 称,一旦黑客侵入了目标银行和金融机构,他们会窃取银行内部文件,为将来发动 ATM 攻击做准备。在俄罗斯,黑客入侵银行系统后会继续对银行网络进行监控,至少有一家美国银行的文件被盗用了两次。Group-IB 表示,其已通知国际刑警组织和欧洲刑警组织,以协助针对该案的执法调查。 这些身份不明的黑客利用不断变化的工具和战术,绕过反病毒和其他传统安全软件,同时又在小心翼翼地清除他们的操作痕迹,从而避开监控。为了掩饰他们的举动,黑客们使用了来自美国银行、美联储、微软和雅虎等品牌的安全证书。 稿源:cnBeta,封面源自网络;

欧洲爆发“坏兔子”勒索软件:俄罗斯与乌克兰成重灾区

据外媒和多家安全企业报道,周二的时候,俄罗斯和东欧地区爆发了名叫“坏兔子”(Bad Rabbit)的新型勒索软件,三家俄媒刊登了头条报道,包括新闻机构“国际文传电讯社”(Interfax)。俄罗斯安全企业 Group-IB 称,一旦计算机被其感染,“坏兔子”就会在一个黑底红字的界面上显示“NotPetya”风格的勒索信息。 该恶意软件会要求受害人登陆“洋葱路由”下隐藏的某个服务网站,向其交付 0.5 个比特币(约合 282 美元)的赎金来解除勒索。此外“坏兔子”还会显示一个倒计时界面,声称不及时支付的话,其勒索金额就会水涨船高。目前暂不清楚“坏兔子”攻击的幕后主使者身份、受害者都有谁、以及该恶意软件是哪里产生和如何传播的。 Interfax 在 Twitter 上表示,由于网络攻击,其服务器已被关闭。此外,乌克兰敖德萨机场也在本周二遭受了破坏性的网络攻击,但不清楚此事是否与“坏兔子”有关。Group IB 发言人表示,这轮大规模网络攻击主要针对以 Interfax 和 Fontanka 为代表的俄罗斯新闻公司。另外还有敖德萨机场、基辅地铁等乌克兰基础设施。 总部位于莫斯科的卡巴斯基实验室则表示,俄罗斯是“坏兔子”的重灾区,其次是乌克兰、土耳其和德国。该公司称该恶意软件的散布“是一场针对企业网络的有意攻击”。 卡巴斯基反恶意软件小组负责人 Vyacheslav Zakorzhevsky 在声明中称: 根据我们的数据,‘坏兔子’袭击的受害者多为在俄罗斯。其通过一些感染的设备,侵入了一些俄罗斯媒体网站。 虽然该恶意软件的攻击手段与 ExPetr [NotPetya] 期间类似,但我们无法证实它们之间的关系。 总部位于捷克的另一家安全企业 ESET 亦证实有一场实时的勒索软件活动。其在一篇博客文章中写到,以基辅地铁为例,新爆发的该勒索软件至少也是 Petya 的一个变种。 NotPetya 本身也是 Petya 的一个变种,ESET 表示该公司已经检测到了“数百起”的感染。另据 Proofpoint 的一位研究人员所述,“坏兔子”是通过一个假装的 Adobe Flash Player 安装器传播的。 卡巴斯基实验室的研究人员也证实了这点,称该恶意软件的启动器是通过被感染的合法网站发布出去的,但是这可能不是“坏兔子”的唯一散播途径。据 ESET 所述,该恶意软件还会尝试感染同一本地网络下的其它计算机,比如借助早就曝光的 Windows 数据共享协议(SMB)和开源的 Mimikatz 漏洞利用工具。 一位迈克菲研究人员指出,“坏兔子”会加密各种各样的文件,包括 .doc 和 .docx 文档、.jpg 图片、以及其它文件类型。最后,有多名研究人员指出,“坏兔子”似乎借用了《权利的游戏》中的许多命名,比如卡丽熙(全名太长不赘述)的三条龙 —— Drogon、Rhaegal、以及 Viserion 。 稿源:cnBeta,原文 [编译自:Motherboard , 来源:SecureList]

莫斯科威胁情报机构 Group-IB 发布《 2017 高科技犯罪趋势报告 》

HackerNews.cc 10 月 12 日消息,莫斯科威胁情报机构 Group-IB 于近期发布《 2017 高科技犯罪趋势报告》,指出银行、发电站或隐性证券交易机构预计成为黑客未来一段时间的主要攻击目标。 Group-IB 是一家全球预防和调查高科技犯罪与网络欺诈的领导者之一,也是俄罗斯首家威胁情报解决方案的供应厂商。然而,为防止全球网络攻击事件的发生,Group-IB 提供了早期威胁检测产品的具体解决方案。目前,Group-IB 拥有东欧最大的犯罪学实验室与计算机应急团队(CERT-GIB)。 相关数据显示,银行未来所面临的网络攻击主要损失并非盗窃,而是在目标攻击的最后阶段通过破坏 IT 基础架构获取登录权限后窃取用户资金。此外,由于国家支持的黑客活动在当今这个时代来说愈加频繁,因此加大限度的影响了国家银行的损失可能。据悉,在这两种情况下,对银行造成的损失可能甚至超过由于服务中断而导致资金数额以及声誉的影响。 目前,黑客越来越关注加密行业(例如:ICO、钱包、交易所、基金),因为这些行业正积累越来越多的资本与资金。技术上来说,由于这个行业的信息安全程度较低,因此对该服务提供商的攻击事件并不比银行机构少。调查显示,网络犯罪分子的进一步动机则是匿名封锁技术且不受任何管制,从而大大增加网络安全的风险程度。 此外,安全专家还发现黑客成功袭击了多数工业设施,因为他们可能已经学会了如何处理关键基础设施的 “逻辑”。然而,黑客要想使用独特的信息技术获得访问权限的话,就需要具体了解部分企业运营原则。在过去一年中,安全专家观察到黑客的能力随着影响关键基础设施能力的增加而提升。因此,他们预测针对工业与相关核心基础设施的网络攻击正大幅度提高。 据悉,网络攻击次数的增长以及被盗的总数是黑客能力的重要指标。然而,多数攻击者如果能够找到更有效率或更安全的方法赚取收益,那么他们就会开始投资研发新黑客工具、服务与攻击计划。此外,虽然俄罗斯法律实体盗窃案件所造成的损失正在减少,但 Android 银行木马造成的损失却在持续增加,其中针对银行与支付系统的攻击数量较为显著。 附:Group-IB 发布《 2017 高科技犯罪趋势报告》 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。