Предотвращение
- Аудит безопасности
- Оценка соответствия
- Red Teaming
- Тестирование на проникновение
- Compromise Assessment
- Обучающие программы
Расследования высокотехнологичных преступлений
Борьба с компьютерными, финансовыми, корпоративными преступлениями по всему миру
Заказать расследование1300+
успешных расследований проведено нашей профессиональной командой экспертов
$300 млн
возвращено потерпевшей компании по результатам одного из наших расследований
Европол, Интерпол
и киберполиции разных стран тесно сотрудничают с Group‑IB
Преимущества F.A.C.C.T.
Глубокое понимание преступных схем
Благодаря 18-летнему опыту расследований мы понимаем всю цепочку действий злоумышленников: от вербовки инсайдеров и разработки программ для взлома до вывода и обналичивания денежных средств. При своевременном обращении наши эксперты оперативно остановят злоумышленника и помогут вашему бизнесу избежать серьезных финансовых потерь.
Индивидуальный подход к расследованиям
Для каждого расследования собирается проектная команда из экспертов необходимого профиля. Поиском и интерпретацией улик занимаются опытные специалисты в области финансовых расследований, бухгалтерского учета и финансового аудита, экономической безопасности, eDiscovery- и Forensic-аналитики, эксперты корпоративного и гражданского права.
Сотрудничество с право-охранительными органами
Технологии проникают во все сферы нашей жизни, поэтому для расследования сложных преступлений сотрудникам правоохранительных служб требуются специализированные знания, методики. Наши специалисты тесно сотрудничают с национальной и международной полицией, расследуя разные виды преступлений — от кибератак до убийств и исчезновения людей.
Собственные технологии обнаружения преступников
Специалисты F.A.C.C.T. используют свои методики и инструменты для выявления цифровых следов злоумышленников. Собственные технологии анализа паттернов, сетевого анализа, тактического профилирования позволяют нам успешно расследовать самые сложные инциденты.
Какие виды преступлений мы расследуем:
Кражи данных
Конкурентный шпионаж, фишинг, хищение интеллектуальной собственности, кража информации, составляющей коммерческую тайну, учетных данных и другой конфиденциальной информации
Финансовые преступления
Кража криптовалюты, мошенничество в системах онлайн-банкинга и мобильного банкинга, атаки на банкоматы, системы карточного процессинга, SWIFT, платежные шлюзы
Атаки на критическую инфраструктуру
Атаки на системы водоснабжения, транспортную инфраструктуру, системы управления технологическим процессом в энергетической и нефтегазовой промышленности
Атаки с использованием вредоносного ПО
Создание, распространение вредоносных программ, бот-сетей и контроль над ними, мошеннические email-рассылки, шифровальщики и шпионское ПО
Информационные войны
Вымогательство, подрыв репутации, распространение негативной информации, преследование и кража личных данных
Инсайдерские угрозы
Злоупотребление служебными полномочиями, конкурентный шпионаж, утечка данных, кража учетной записи
DDoS-атаки
Заказные и целенаправленные атаки на веб-сервисы и ресурсы, для приостановления их деятельности или затруднения доступа к ним
Кражи интеллектуальной собственности
Присвоение исходного кода, программного обеспечения и других информационных продуктов
Кроме борьбы с киберпреступниками, F.A.C.C.T. оказывает содействие правоохранительным органам в расследовании уголовных преступлений: убийств, доведения до самоубийства, грабежей, похищений людей.
Результаты расследования
Подробный профиль злоумышленника
Мы тщательно исследуем анатомию атаки и инфраструктуру злоумышленников, определяем механизмы и воссоздаем последовательность событий.
Безупречная доказательная база для суда
Эксперты F.A.C.C.T. собирают и документируют цифровые доказательства в соответствии с требованиями законодательства для корректного представления в суде.
Консультирование правоохранительных органов
Наши эксперты обладают глубокими знаниями в сфере законодательства и оказывают всестороннюю поддержку правоохранительным службам на всех этапах расследования.
Резонансные международные расследования F.A.C.C.T.
Расследование высокотехнологичных преступлений — старейшее направление деятельности F.A.C.C.T..
#BEC
Операция Falcon
Компания F.A.C.C.T. в сотрудничестве с Интерполом и нигерийской полицией приняла участие в операции Falcon по пресечению деятельности TMT, группы киберпреступников из Нигерии.
Подробнее#Кардинг
Carding Action 2020
Более 100 мошеннических интернет-ресурсов, включая сайты, телеграмм-каналы и группы в социальных сетях, незаконно продавали поддельные цифровые пропуска жителям Москвы и других регионов России.
Подробнее#Мошенничество
Поддельные пропуска
Более 100 мошеннических интернет-ресурсов, включая сайты, Telegram-каналы и группы в социальных сетях, незаконно продавали поддельные цифровые пропуска жителям Москвы и других регионов России.
Подробнее#Атаки на ретейл
GetBilling
Преступники похищали у покупателей данные банковских карт и использовали их для покупки гаджетов и предметов роскоши.
Подробнее#Пиратство
Пиратское кино
Впервые в России осужден владелец пиратской сети онлайн-кинотеатров. Пиратская библиотека каждого сайта насчитывала более 10 000 наименований
Подробнее#Android-трояны
TipTop
С помощью Android-троянов киберпреступники инфицировали более 800 000 смартфонов и ежедневно похищали от 100 000 до 700 000 рублей.
Подробнее#Вымогательство
Киберзащитники
Взламывали личные кабинеты клиентов банков, интернет-магазинов, страховых компаний, а потом направляли в компанию-жертву письмо, выдавая себя за White Hat — экспертов по кибербезопасности, требуя «вознаграждение» от 40 000 до 250 000 рублей. Продавали полученные данные для доступа к аккаунтам на хакерских форумах.
Подробнее#Бот-сети
Админ
Администрато бот-сетей, включавших в себя не менее 50 000 инфицированных компьютеров. Похищал учетные записи — логины и пароли, сохраненные в почтовых клиентах и браузерах
Подробнее#Вымогательство
Телефонные мошенники
Группа обманом вымогала у пожилых людей крупные суммы — от 30 000 до 300 000 рублей, обещая компенсацию за совершенную ранее покупку волшебных пилюль, медицинских приборов или БАДов.
Подробнее#Накрутки
«Голос»
Технический аудит процедуры зрительского голосования в шоу «Голос. Дети-6».
Подробнее#Android-трояны
CRON
Похищали деньги с банковских счетов пользователей смартфонов с ОС Android. Ежедневно заражали 3 500 телефонов и меньше чем за год установили его почти на 1 млн устройств. Общий ущерб от действий Cron оценивается, как минимум, в 50 млн рублей.
Подробнее#Вредоносное ПО
CARBERP
Самая большая в России организованная преступная группа, похитившая более $250 млн. со счетов клиентов российских банков. Заразила своим вредоносным ПО более 1,5 млн. компьютеров.
Подробнее#Кражи с банковских счетов
Братья Попелыши
Первые атаки на клиентов банков братья Попелыши вместе с калининградским хакером Александром Сарбиным совершили в 2010 году. Только за период с сентября по декабрь 2010 года Сарбин и Попелыши похитили у 16 клиентов около 2 млн рублей, а к февралю 2011 года жертвами фишеров стали 170 клиентов российских банков из 46 регионов страны;
Подробнее#Android-трояны
“Киберфашисты”
Хакерская группа заразила около 340 тысяч устройств на базе ОС Android для совершения хищений с банковских счетов. Злоумышленники распространяли вредоносное ПО через смс-сообщения, содержащие ссылку на скачивание программы, замаскированной под Adobe Flash Player. Свою программу они назвали «5 рейх», а в системе управления использовали нацистскую символику.
Подробнее#DDoS-атаки
Dragon
26-летний хакер осуществлял заказные DDoS-атаки, используя бот-сеть Dragon. Одной из его жертв стала крупная финансовая корпорация, владеющая несколькими банками. С момента обращения в F.A.C.C.T. до момента задержания злоумышленника прошли рекордно короткие сроки — вся работа была выполнена в течение месяца.
Подробнее#Атаки на Android
Мобильная бот-сеть
В конце 2013 года службой безопасности Сбербанка России была зафиксирована масштабная кибератака на владельцев смартфонов на базе ОС Android. Злоумышленники заражали их вредоносным программным обеспечением через массовую рассылку MMS-сообщений с обещанием «романтического подарка»: переход по ссылке приводил к загрузке вируса.”.
Подробнее#Вымогательство #DDoS
Украинские DDoS-хакеры
Украинская хакерская группа занималась вымогательством и проводила DDoS-атаки на интернет-компании в течение 2-х лет. В сентябре 2015 г. международный сервис онлайн-знакомств AnastasiaDate столкнулся с мощными повторяющимися DDoS-атаками. Они вызвали многочасовые перебои в работе и отказ в обслуживании сайта компании. Вымогатели потребовали вознаграждение в размере 10 000 долларов США за прекращение нападений на ресурс.
Подробнее#Атаки на ретейл
Взлом онлайн аккаунтов
Злоумышленники взломали 700 тыс. аккаунтов участников программ лояльности популярных интернет-магазинов, платежных систем и букмекерских компаний. Если взлом удавался, злоумышленники проверяли сумму накопленных бонусов и продавали скомпрометированные учетные записи на хакерских форумах по цене от 5$ за аккаунт.
Подробнее#Вредоносное ПО
#Фейковые аккаунты
Хакер похищал средства у клиентов российских банков при помощи Android-трояна. Ежедневно у пользователей похищали от 100 000 до 500 000 рублей, часть украденных денег переводилась в криптовалюту для дальнейшего обналичивания и сокрытия своей деятельности. Банковский троян был замаскирован под «агрегатор» систем мобильного банкинга ведущих банков страны. Клиенты банков скачивали приложение и вводили данные своих карт.
Подробнее#Целевые атаки на банки
Corkow
В феврале 2015 совершила первую в мировой практике атаку на брокера, вызвавшую аномальную волатильность на валютном рынке. Заразив внутреннюю сеть банка, преступники получили доступ к биржевому терминалу и провели серию операций, повлекшую скачок курса доллара по отношению к рублю почти на 20%.
Подробнее#Вредоносное ПО
Buhtrap
Образец успешной переориентации группы, занимавшей лидирующие позиции по объему хищений у юридических лиц. С августа 2015 по февраль 2016 совершила 13 успешных атак на российские банки, 1,8 миллиарда рублей ($25 млн). В двух случаях сумма хищений в 2,5 раза превзошла уставной капитал банка.
Подробнее#APT-атаки
Lazarus
Хакеры из северокорейской группы Lazarus долгие годы шпионили за идеологическими врагами режима — госучреждениями и частными корпорациями США и Южной Кореи. Теперь Lazarus атакует банки и финансовые учреждения по всему миру. Самая масштабная из атак — попытка украсть в феврале 2016 года почти $1 млрд из центрального банка Бангладеш.
Подробнее#Целевые атаки на банки
Cobalt
Группа успешно атаковала банки по всему миру — России, Великобритании, Нидерландах, Испании, Румынии, Белоруссии, Польши, Эстонии, Болгарии, Грузии, Молдавии, Киргизии, Армении, Тайване и Малайзии. Специализируются на бесконтактных (логических) атаках на банкоматы. Кроме систем управления банкоматами, киберпреступники стараются получить доступ к системам межбанковских переводов (SWIFT), платежным шлюзам и карточному процессингу.
Подробнее#Целевые атаки на банки
Группа Hodprot
Одна из старейших российских киберпреступных групп, ответственная за хищение около 125 млн. рублей со счетов клиентов российских банков. Для конспирации злоумышленники использовали серверы управления, расположенные в Голландии, Германии, Франции и США.
Подробнее#Целевые атаки на банки
Anunak / Carbanak
Совершила первые успешные целевые атаки на банки в России. Самая опытная группа, в 2013-2014 году атаковавшая более 50 российских банков и 5 платежных систем, похитив в общей сложности более 1 млрд рублей (около $25 млн). Также атаковала POS-терминалы американских и европейских ритейл-сетей. Активно вовлекала новых людей в атаки и делилась опытом. Имеет целый ряд последователей, копирующих их тактику.
Подробнее#Бот-сети, #Хищения у юрлиц
Germes
Крупнейшая в России бот-сеть, объединившая 4,5 млн. зараженных компьютеров. Объем хищений, организованных с помощью бот-сети, оценивается более чем в 150 млн. рублей.
Подробнее#Бот-сети, #Хищения у юрлиц
Hameleon
Первая в России бот-сеть, предназначенная для хищения денег с банковских счетов физических лиц. Преступники осуществляли атаки на клиентов банков с использованием поддельных SIM-карт.
Подробнее#DDoS-атаки
PumpWaterReboot
Хакер, стоящий за DDoS-атаками на «Тинькофф. Кредитные Системы», «Альфа-Банк», «Промсвязьбанк», «Лабораторию Касперского» и крупные интернет-порталы. Вымогал деньги за прекращение атак.
Подробнее#Вредоносное ПО
Paunch (Blackhole)
Автор платформ для незаметного распространения вредоносных программ. С использованием его продуктов в сети Интернет проходило до 40% заражений по всему миру.
Подробнее#Android-трояны
Waplook
Первое в России задержание участников преступной группы, использующей вредоносные программы для мобильных телефонов для хищений денежных средств у физических лиц.
ПодробнееПоследние исследования
OldGremlin
Нападения вымогателей на российский бизнес выросли более чем на 200%. На примере OldGremlin можно проследить развитие индустрии операторов шифровальщиков. История “гремлинов”, их тактики и инструменты, а также рекомендации по защите от них - в этом отчете.
Эволюция Classiscam
Происхождение, принцип работы и развитие схемы. Узнайте больше об одной из самых популярных мошеннических схем, которая насчитывает более 384 мошеннических групп и затронула 169 брендов из 64 стран.
Армада Conti: Кампания ARMATTACK
Индикаторы компрометации, матрица MITRE ATT&CK с актуальными техниками, тактиками и инструментами Conti, а также наши рекомендации по защите — в этом отчете.
Программы-вымогатели 2021/2022
Исчерпывающий обзор тактик, техник и процедур (TTPs) операторов программ-вымогателей на основе матрицы MITRE ATT&CK®.
Декабрь 2021
Hi-Tech Crime Trends 2021/2022 часть I
Незваные гости: Продажа доступов в сети компаний
Анализ даркнет-ресурсов по продаже доступов к скомпрометированной инфраструктуре компаний.
Декабрь 2021
Hi-Tech Crime Trends 2021/2022 часть II
Угроза №1: Киберимперия шифровальщиков
История, анализ, партнерские программы и тренды рынка шифровальщиков.
Декабрь 2021
Hi-Tech Crime Trends 2021/2022 часть III
Большой куш: Угрозы для финансовых организаций
Ландшафт киберугроз: атаки шифровальщиков, кардинг, продажа доступов, фишинг и скам.
Декабрь 2021
Hi-Tech Crime Trends 2021/2022 часть V
Скам и фишинг: Эпидемия онлайн-мошенничества
Новые технологии мошенничества, анализ схем, инструментов и инфраструктуры.
Август 2019
Атаки группировки Silence
Полное техническое исследование инструментов, тактики и эволюции малочисленной группы киберпреступников впервые в открытом доступе
Декабрь 2014
Anunak: APT против финансовых организаций
Отчет включает результаты исследования группы Anunak компаниями F.A.C.C.T. и Fox‑IT. Хакеры сосредоточились на банках и системах электронных платежей.
OldGremlin
Нападения вымогателей на российский бизнес выросли более чем на 200%. На примере OldGremlin можно проследить развитие индустрии операторов шифровальщиков. История “гремлинов”, их тактики и инструменты, а также рекомендации по защите от них - в этом отчете.
Эволюция Classiscam
Происхождение, принцип работы и развитие схемы. Узнайте больше об одной из самых популярных мошеннических схем, которая насчитывает более 384 мошеннических групп и затронула 169 брендов из 64 стран.
Армада Conti: Кампания ARMATTACK
Индикаторы компрометации, матрица MITRE ATT&CK с актуальными техниками, тактиками и инструментами Conti, а также наши рекомендации по защите — в этом отчете.
Программы-вымогатели 2021/2022
Исчерпывающий обзор тактик, техник и процедур (TTPs) операторов программ-вымогателей на основе матрицы MITRE ATT&CK®.
Декабрь 2021
Hi-Tech Crime Trends 2021/2022 часть I
Незваные гости: Продажа доступов в сети компаний
Анализ даркнет-ресурсов по продаже доступов к скомпрометированной инфраструктуре компаний.
Декабрь 2021
Hi-Tech Crime Trends 2021/2022 часть II
Угроза №1: Киберимперия шифровальщиков
История, анализ, партнерские программы и тренды рынка шифровальщиков.
Декабрь 2021
Hi-Tech Crime Trends 2021/2022 часть III
Большой куш: Угрозы для финансовых организаций
Ландшафт киберугроз: атаки шифровальщиков, кардинг, продажа доступов, фишинг и скам.
Декабрь 2021
Hi-Tech Crime Trends 2021/2022 часть V
Скам и фишинг: Эпидемия онлайн-мошенничества
Новые технологии мошенничества, анализ схем, инструментов и инфраструктуры.
Август 2019
Атаки группировки Silence
Полное техническое исследование инструментов, тактики и эволюции малочисленной группы киберпреступников впервые в открытом доступе
Декабрь 2014
Anunak: APT против финансовых организаций
Отчет включает результаты исследования группы Anunak компаниями F.A.C.C.T. и Fox‑IT. Хакеры сосредоточились на банках и системах электронных платежей.
Свяжитесь с нами, чтобы узнать больше про расследования высокотехнологичных преступлений
#Android-трояны
Видео ареста:
CRON
Чем известны
Похищали деньги с банковских счетов пользователей смартфонов с ОС Android. Ежедневно заражали 3 500 телефонов и меньше чем за год установили его почти на 1 млн устройств. Общий ущерб от действий Cron оценивается, как минимум, в 50 млн рублей.
Статус
Ликвидирована. В ноябре 2016 года в 6 регионах России задержаны 16 участников Cron. Последний активный участник группы был задержан в апреле 2017 года в Санкт-Петербурге.
Видео ареста:
#Вредоносное ПО
Видео ареста:
Carberp
Чем известны
Самая большая в России организованная преступная группа, похитившая более $250 млн. со счетов клиентов российских банков. Заразила своим вредоносным ПО более 1,5 млн. компьютеров.
Статус
Ликвидирована. Первый в российской правоохранительной практике случай задержания всех фигурантов группы. Организаторы группы осуждены на сроки от 5 до 7 лет.
Видео ареста:
#Кражи с банковских счетов
Видео ареста:
Братья Попелыши
Чем известны
Первые атаки на клиентов банков братья Попелыши вместе с калининградским хакером Александром Сарбиным совершили в 2010 году. Только за период с сентября по декабрь 2010 года Сарбин и Попелыши похитили у 16 клиентов около 2 млн рублей, а к февралю 2011 года жертвами фишеров стали 170 клиентов российских банков из 46 регионов страны; преступники вывели около 13 миллионов рублей. Весной 2011 года Попелышей и Сарбина задержали, однако злоумышленники отделались мягким приговором. Оказавшись на свободе, братья с размахом взялись за старое: они взяли на вооружение новые вредоносные программы. В период с марта 2013 по май 2015 года группировка Попелышей получила доступ к более чем 7 000 счетов клиентов различных российских банков, похитив более 12,5 млн рублей.
Статус
Попелышей снова задержали в мае 2015 года в ходе совместной спецоперации МВД и ФСБ в Петербурге. В 2018 году преступники были осуждены — Евгений и Дмитрий Попелыши получили по 8 лет лишения свободы, их сообщники — от 4 до 6 лет заключения.
Видео ареста:
#Android-трояны
Видео ареста:
«Киберфашисты»
Чем известны
Хакерская группа заразила около 340 тысяч устройств на базе ОС Android для совершения хищений с банковских счетов. Злоумышленники распространяли вредоносное ПО через смс-сообщения, содержащие ссылку на скачивание программы, замаскированной под Adobe Flash Player. Свою программу они назвали «5 рейх», а в системе управления использовали нацистскую символику.
Статус
Четверо подозреваемых были задержаны управлением «К» МВД России при активном содействии экспертов F.A.C.C.T. и службы безопасности Сбербанка.
Видео ареста:
#DDoS-атаки
Видео ареста:
Dragon
Чем известны
26-летний хакер осуществлял заказные DDoS-атаки, используя бот-сеть Dragon. Одной из его жертв стала крупная финансовая корпорация, владеющая несколькими банками. С момента обращения в F.A.C.C.T. до момента задержания злоумышленника прошли рекордно короткие сроки — вся работа была выполнена в течение месяца.
Статус
Злоумышленник был приговорен к двум годам лишения свободы условно.
Видео ареста:
#Атаки на Android
Видео ареста:
Мобильная бот-сеть
Чем известны
В конце 2013 года службой безопасности Сбербанка России была зафиксирована масштабная кибератака на владельцев смартфонов на базе ОС Android. Злоумышленники заражали их вредоносным программным обеспечением через массовую рассылку MMS-сообщений с обещанием «романтического подарка»: переход по ссылке приводил к загрузке вируса.
Статус
Преступники были задержаны управлением «К» МВД России при активном содействии экспертов F.A.C.C.T. и Сбербанка.
Видео ареста:
#Вымогательство #DDoS
Украинские DDoS-хакеры
Чем известны
Украинская хакерская группа занималась вымогательством и проводила DDoS-атаки на интернет-компании в течение 2-х лет. В сентябре 2015 г. международный сервис онлайн-знакомств AnastasiaDate столкнулся с мощными повторяющимися DDoS-атаками. Они вызвали многочасовые перебои в работе и отказ в обслуживании сайта компании. Вымогатели потребовали вознаграждение в размере 10 000 долларов США за прекращение нападений на ресурс.
В ходе расследования F.A.C.C.T. выяснилось, что указанный ресурс был не единственной жертвой вымогателей. Атакам подвергались интернет-магазины, сайты букмекерских фирм, лотерейных и игровых компаний. Средняя сумма требуемого выкупа варьировалась от 1 до 10 тысяч долларов. Большинство жертв предпочли выплатить выкуп и не обращались в правоохранительные органы.
Статус
В ходе следствия оба обвиняемых признали свою вину, и суд приговорил каждого к 5 годам лишения свободы (условно).
#Атаки на ретейл
Взлом онлайн аккаунтов
Чем известны
Злоумышленники взломали 700 тыс. аккаунтов участников программ лояльности популярных интернет-магазинов, платежных систем и букмекерских компаний. Если взлом удавался, злоумышленники проверяли сумму накопленных бонусов и продавали скомпрометированные учетные записи на хакерских форумах по цене от 5$ за аккаунт. В дальнейшем «покупатели» использовали их для оплаты товара бонусами. Также они предлагали услуги по «угону аккаунтов» — смене телефонного номера и электронной почты на учетных записях интернет-магазина.
Статус
Преступники были задержаны и дали признательные показания. Ведется следствие.
#Фейковые мобильные приложения
Вредоносное мобильное ПО
Чем известны
Хакер похищал средства у клиентов российских банков при помощи Android-трояна. Ежедневно у пользователей похищали от 100 000 до 500 000 рублей, часть украденных денег переводилась в криптовалюту для дальнейшего обналичивания и сокрытия своей деятельности. Банковский троян был замаскирован под «агрегатор» систем мобильного банкинга ведущих банков страны. Клиенты банков скачивали приложение и вводили данные своих карт. Запущенный троян отправлял данные банковских карт или логины\пароли для входа в интернет-банкинг на сервер злоумышленникам. После этого злоумышленник переводил деньги на заранее подготовленные банковские счета суммами от 12 до 30 тысяч рублей за один перевод, вводя SMS-код подтверждения операции, перехваченный с телефона жертвы. Сами пользователи не подозревали, что стали жертвами киберпреступников — все SMS-подтверждения транзакций блокировались.
Статус
Подозреваемый дал признательные показания. Ведется следствие.
#Целевые атаки на банки
Corkow
Чем известны
В феврале 2015 совершила первую в мировой практике атаку на брокера, вызвавшую аномальную волатильность на валютном рынке. Заразив внутреннюю сеть банка, преступники получили доступ к биржевому терминалу и провели серию операций, повлекшую скачок курса доллара по отношению к рублю почти на 20%.
Статус
Не активна.
#Разработка вредоносного ПО
Buhtrap
Чем известны
Образец успешной переориентации группы, занимавшей лидирующие позиции по объему хищений у юридических лиц. С августа 2015 по февраль 2016 совершила 13 успешных атак на российские банки, 1,8 миллиарда рублей ($25 млн). В двух случаях сумма хищений в 2,5 раза превзошла уставной капитал банка.
Статус
Приостановила атаки на банки, продолжаются хищения у юридических лиц с помощью бот-сети, проданной другим атакующим.
#DDoS-атаки
Lazarus
Чем известны
Хакеры из северокорейской группы Lazarus долгие годы шпионили за идеологическими врагами режима — госучреждениями и частными корпорациями США и Южной Кореи. Теперь Lazarus атакует банки и финансовые учреждения по всему миру. Самая масштабная из атак — попытка украсть в феврале 2016 года почти $1 млрд из центрального банка Бангладеш. Тогда хакеры воспользовались уязвимостью в системе безопасности банка, чтобы внедрится в сеть и получить доступ к компьютерам, подключенным к SWIFT. Но из-за ошибки в платежном документе хакерам удалось вывести только $81 млн.
Статус
Активна.
#Целевые атаки на банки
Cobalt
Чем известны
Группа Cobalt успешно атаковала банки по всему миру — России, Великобритании, Нидерландах, Испании, Румынии, Белоруссии, Польши, Эстонии, Болгарии, Грузии, Молдавии, Киргизии, Армении, Тайване и Малайзии. Специализируются на бесконтактных (логических) атаках на банкоматы. Кроме систем управления банкоматами, киберпреступники стараются получить доступ к системам межбанковских переводов (SWIFT), платежным шлюзам и карточному процессингу.
Статус
Задержание 5 «мулов», связанных с группой Cobalt, не отразилось на активности группы. Угроза новых атак по-прежнему актуальна.
#Целевые атаки на банки
Группа Hodprot
Чем известны
Одна из старейших российских киберпреступных групп, ответственная за хищение около 125 млн. рублей со счетов клиентов российских банков. Для конспирации злоумышленники использовали серверы управления, расположенные в Голландии, Германии, Франции и США.
Статус
Задержаны все участники преступной группы. Возбуждено уголовное дело.
#Целевые атаки на банки
Anunak / Carbanak
Чем известны
Совершила первые успешные целевые атаки на банки в России. Самая опытная группа, в 2013-2014 году атаковавшая более 50 российских банков и 5 платежных систем, похитив в общей сложности более 1 млрд рублей (около $25 млн). Также атаковала POS-терминалы американских и европейских ритейл-сетей. Активно вовлекала новых людей в атаки и делилась опытом. Имеет целый ряд последователей, копирующих их тактику.
Статус
Начиная с 2015 года не совершила ни одного успешного хищения на территории России, но их троян еще используется для атак на компании за пределами СНГ.
#Бот сети
Germes
Чем известны
Крупнейшая в России бот-сеть, объединившая 4,5 млн. зараженных компьютеров. Объем хищений, организованных с помощью бот-сети, оценивается более чем в 150 млн. рублей.
Статус
Организатор преступной группы, действовавшей на территории нескольких стран, арестован.
#Бот сети
Группа Hameleon
Чем известны
Первая в России бот-сеть, предназначенная для хищения денег с банковских счетов физических лиц. Преступники осуществляли атаки на клиентов банков с использованием поддельных SIM-карт.
Статус
Организатор преступной группы арестован, предотвращено хищений на сумму более 1 млрд рублей.
#DDoS-атаки
PumpWaterReboot
Чем известны
Создатель бот-сети для организации заказных DDoS-атак. Жертвами группы стали несколько британских и российских компаний, в том числе один из ТОП-10 крупнейших российских банков.
Статус
Организатор преступной группы задержан.
#Разработка вредоносного ПО
Paunch (Blackhole)
Чем известны
Автор платформ для незаметного распространения вредоносных программ. С использованием его продуктов в сети Интернет проходило до 40% заражений по всему миру.
Статус
Организатор преступной группы задержан, возбуждено уголовное дело по ст. 210 (ч. 1 и 2) УК РФ. 12 апреля 2016 года был приговорен к 7 годам лишения свободы в колонии общего режима.
#Android-трояны
Waplook
Чем известны
Первое в России задержание участников преступной группы, использующей вредоносные программы для мобильных телефонов для хищений денежных средств у физических лиц.
Статус
Ведется следствие.
#Вымогательство
«Киберзащитники»
Чем известны
Взламывали личные кабинеты клиентов банков, интернет-магазинов, страховых компаний, а потом направляли в компанию-жертву письмо, выдавая себя за White Hat — экспертов по кибербезопасности, требуя «вознаграждение» от 40 000 до 250 000 рублей. Продавали полученные данные для доступа к аккаунтам на хакерских форумах.
Статус
В ходе расследования, проведенного МВД совместно с F.A.C.C.T. и Почта Банком летом 2018 года были задержаны двое участников преступной группы — автор письма и организатор схемы. Ведется следствие.
#Android-трояны
TipTop
Чем известны
Главной целью группы TipTop были клиенты крупных российских банков из ТОП-10.
С помощью Android-троянов киберпреступники инфицировали более 800 000 смартфонов и ежедневно похищали от 100 000 до 700 000 рублей.
Хакеры маскировали вредоносные программы под мобильные приложения известных банков, мессенджер Viber, магазин приложений Google Play, приложения Adobe.
Статус
Один из участников группы — заливщик получил 2 года лишения свободы (условно).
#Вымогательство
Киберзащитники
Чем известны
Преступники взламывали личные кабинеты клиентов банков, интернет-магазинов, страховых компаний и требовали вознаграждение в размере от 40 000 до 250 000 рублей за якобы обнаруженные уязвимости.
Всего скомпрометировано около 700 000 учетных записей, часть из них продавали на хакерских форумах по $5 за аккаунт.
Расследование проведено F.A.C.C.T. совместно с МВД и службой безопасности «Почта Банка».
Статус
Участники группировки задержаны. Дело направлено в суд.
#Бот-сети
Админ
Что известно
В Новокузнецке (Кемеровская область) задержан администратор бот-сетей, включавших в себя не менее 50 000 инфицированных компьютеров.
Задержанный был наемником, он предлагал киберкриминальным группам услуги по модели cybercrime-as-a-service.
Он также сам похищал учетные записи — логины и пароли, сохраненные в почтовых клиентах и браузерах, для последующей продажи на подпольных форумах.
Расследование началось с масштабного инцидента весной 2018 года, когда c помощью трояна Pony Formgrabber были заражены около 1000 компьютеров жителей России и других стран.
Статус
Задержан. Ведется следствие.
#Вымогательство
Телефонные мошенники
Чем известны
МВД совместно с F.A.C.C.T. обезвредило группу телефонных мошенников. Они обманом вымогали у пожилых людей крупные суммы — от 30 000 до 300 000 рублей, обещая компенсацию за совершенную ранее покупку волшебных пилюль, медицинских приборов или БАДов.
В базе данных у жуликов было 1500 контактов пенсионеров.
Аферисты представлялись прокурором Москвы, сотрудником банка или налоговой и разыгрывали по телефону целый спектакль.
Статус
Задержаны семь человек, лидер группы пытался оказать сопротивление, встретив спецназ с ружьем в руках. Расследование продолжается.
#Накрутки
«Голос»
Кейс
Первый канал попросил F.A.C.C.T. проверить «аномальные» итоги зрительского голосования в шоу «Голос. Дети-6».
Менее чем за месяц F.A.C.C.T. завершила все процедуры, связанные с проведением независимого расследования.
Статус
Мы подтвердили выводы об использовании накруток голосов, а также выявили ряд аномалий, сопровождавших голосование.
В прямом эфире руководство «Первого канала» поблагодарило компанию F.A.C.C.T. за работу и пообещало учесть все полученные рекомендации.
#Пиратсво
Пиратское кино
Кейс
Впервые в России осужден владелец пиратской сети онлайн-кинотеатров. Пиратская библиотека каждого сайта насчитывала более 10 000 наименований, а рекламодателями по традиции являлись онлайн-казино, которые также через CDN-провайдеров поставляли готовый контент с уже вшитым в видеоряд рекламным блоком. Владелец сети KinoGB оказался очень скрытным и осторожным человеком: он не имел реальных аккаунтов в социальных сетях и регистраций на форумах. Тем не менее специалисты отдела расследования F.A.C.C.T. смогли довольно быстро выйти на его след.
Статус
Красногорский городской суд вынес 19 декабря приговор владельцу пиратских онлайн-кинотеатров, обвиняемому по ч. 3 ст. 146 УК РФ «Нарушение авторских и смежных прав». По приговору суда владелец сети пиратских онлайн-кинотеатров получил два года условно — это первый подобный судебный прецедент в России.
#Атаки на ритейл
GetBilling
Кейс
Преступники похищали у покупателей данные банковских карт и использовали их для покупки гаджетов и предметов роскоши. Ликвидация этой преступной группы стала первой успешной операцией против JS-снифферов в Азиатско-Тихоокеанском регионе (APAC). Совместная операция Night Fury киберполиции Индонезии, INTERPOL’s ASEAN Cyber Capability Desk (ASEAN Desk) и отдела расследований F.A.C.C.T. в APAC была проведена в декабре 2019 года.
Статус
Арестованы трое жителей Индонезии в возрасте от 23 до 35 лет. Всем им предъявлены обвинения в краже электронных данных с помощью семейства снифферов GetBilling. Операция еще в пяти регионах Азиатско-Тихоокеанского региона продолжается.
#Мошенничество
Поддельные пропуска
Кейс
Более 100 мошеннических интернет-ресурсов, включая сайты, Telegram-каналы и группы в социальных сетях, незаконно продавали поддельные цифровые пропуска жителям Москвы и других регионов России. Эти пропуска необходимы по закону для передвижения по городу в период карантина.
Статус
Больше половины сервисов уже заблокировано. F.A.C.C.T. работает с полицией для выявления поддельных веб-ресурсов и их владельцев. Московская полиция нашла доказательства, указывающие на двух жителей Москвы и Московской области. Оба подозреваемых были задержаны и признали себя виновными в мошенничестве. Возбуждено уголовное дело.
#BEC
Операция Falcon
Кейс
Компания F.A.C.C.T. в сотрудничестве с Интерполом и нигерийской полицией приняла участие в операции Falcon по пресечению деятельности TMT, группы киберпреступников из Нигерии. Группа занималась BEC-атаками (от англ. business email compromise — «компрометация деловой почты»). Преступники, действующие как минимум с 2017 года, скомпрометировали не менее 500 тыс. государственных и частных компаний более чем в 150 странах, в том числе в России.
Статус
В Лагосе арестованы три члена группы ТНТ, остальные находятся в розыске. Информация о предполагаемых злоумышленниках была передана F.A.C.C.T. в Управление по борьбе с киберпреступностью Интерпола.
#Кардинг
Carding Action 2020
Кейс
Компания F.A.C.C.T. приняла участие в международной операции Европола и полиции Великобритании Carding Action 2020, направленной на борьбу с подпольным рынком продаж данных краденых банковских карт.
Используя собственные инновационные технологии для исследования киберугроз и охоты за атакующими, F.A.C.C.T. собрала, проанализировала и передала в правоохранительные органы информацию о 90 000 скомпрометированных карт клиентов европейских банков.
Статус
В результате оперативных действий и использования F.A.C.C.T. Threat Intelligence & Attribution предотвращенный ущерб финансовых учреждений Европы составил €40 млн.