Компания Group-IB, разрабатывающая софт для кибербезопасности и оказывающая услуги по защите авторских прав в интернете, больше года искала инвесторов и продала 20% акций инвестфондам Run Capital и Altera Capital. Новые совладельцы помогут в расширении ее бизнеса за рубежом.
Люксембургская Altera Investment Fund SICAV-SIF (структура фонда Altera Capital, управляющего $600 млн) и фонд Run Capital, пайщиками которого являются основатели платежной системы Qiwi Николай и Андрей Романенко и Андрей Муравьев, приобрели по 10% Group-IB, рассказали в Run Capital. Соучредитель и управляющий партнер Altera Capital Кирилл Андросов, ранее заместитель руководителя аппарата правительства, а сейчас председатель совета директоров "Аэрофлота", не ответил. У менеджмента и основателей компании осталось 80% Group-IB, сказал ее гендиректор Илья Сачков. Объем инвестиций, направленных в Group-IB, стороны не раскрывают,
Group-IB создает программное обеспечение по информбезопасности, сотрудничает с правоохранительными органами в расследовании киберинцидентов, а также оказывает услуги по защите авторских прав в интернете (например, добивается блокировки доменов, незаконно использующих бренд). Решениями Group-IB, по собственным данным, пользуются Сбербанк, Альфа-банк, "МегаФон", "Ростех" и др. По данным "СПАРК-Интерфакс", выручка ООО "Группа информационной безопасности" в 2015 году выросла с 109 млн до 193,6 млн руб., а чистый убыток по итогам 2014 года в 31 млн руб. сменился прибылью в размере 50 млн руб. в 2015 году.
Group-IB больше года искала покупателей 20-процентной доли. В феврале 2015 года, после того как менеджеры Group-IB выкупили 50% акций компании у фонда Leta Group, Илья Сачков говорил о планах привлечь $20 млн по оценке $80-100 млн за всю компанию. В апреле 2015 года Фонд развития интернет-инициатив (ФРИИ) объявил, что готов вложить в Group-IB 210 млн руб. Пока сделка не состоялась, помешала девальвация рубля, сократившая оценку Group-IB и поставленные ФРИИ условия "упаковать сервисы Group-IB в коробочные продукты и доказать, что эти продукты они могут продавать". ФРИИ пересматривает условия сделки с Group-IB, сейчас стороны на финальном этапе переговоров, сообщили в фонде. Илья Сачков называет ФРИИ одним из тех стратегов, с которыми Group-IB дружит и сотрудничает.
Оценка 100% Group-IB в сделке с Altera Capital и Run Capital "близка к озвученной Ильей Сачковым в 2015 году, а стоимость доли фондов — $16-20 млн", рассказал собеседник близкий к сделке. Источник на венчурном рынке, утверждает, что в документах о сделке Group-IB не видел таких оценок. Для текущего уровня и динамики развития Group-IB эти цифры выглядят завышенными, считает управляющий директор Prostor Capital Алексей Соловьев.
"Существуют механизмы, которые защищают интересы инвесторов при раундах с завышенной оценкой, например liquidation preference. Он гарантирует инвестору минимальную доходность вне зависимости от того, за сколько компания будет продана впоследствии. На их месте я бы защитил свои интересы таким образом",— отмечает эксперт.
С новыми совладельцами компания получает "умные деньги", уверен Илья Сачков. У Altera Capital есть экспертиза на рынке информбезопасности США, а Run Capital "хорошо разбирается в том, как работает финансовая отрасль", объясняет он. Акционер Run Capital Андрей Романенко говорит, что познакомился с решениями Group-IB еще в 2013 году, когда она разрабатывала программу защиты пользователей Qiwi от мошенничества.
"Уже тогда ее технологии намного опережали конкурентов",— утверждает он. По словам Ильи Сачкова, полученные от Altera Capital и Run Capital средства пойдут на разработку софта, на экспансию в США, Западную Европу, на Ближний Восток и в Азию. "Во-первых, с конкурентами надо бороться на их рынках, а во-вторых, необходимо наращивать продажи там, где активно и быстро развивается экономика",— говорить господин Сачков.
В этом месяце хактивисты Head Mare провели еще одну вредоносную рассылку с прицелом на российские организации. При разборе атак эксперты «Лаборатории Касперского» обнаружили новый вариант трояна PhantomCore.
В предыдущей серии имейл-атак, тоже февральских, группировка Head Mare пыталась заселить в российские корпоративные сети схожий Windows-бэкдор PhantomHeart.
Новые письма-ловушки злоумышленники рассылали от имени некоего НИИ, предлагая его услуги в качестве подрядчика. Вложенный архив под паролем содержал несколько файлов с двойным расширением .pdf.lnk.
При запуске эти ярлыки действуют одинаково: автоматически скачивают с внешнего сервера документы-приманки и файл USOCachedData.txt. Загрузчики различаются лишь ссылками, по которым они работают.
Невинный на вид USOCachedData.txt на самом деле скрывает DLL обновленного PhantomCore. Анализ образца (результат VirusTotal на 23 февраля — 34/72) показал, что новобранец написан на C++, строки кода зашифрованы путем побайтового XOR, а основной задачей трояна является обеспечение удаленного доступа к консоли в зараженной системе.
При подключении к C2-серверу вредонос отправляет два POST-запроса с данными жертвы для регистрации и ожидает команд. В ответ он получает координаты архива с TemplateMaintenanceHost.exe — модулем для создания туннеля, который оседает в папке %AppData% и обживается через создание нового запланированного задания.
Написанный на Go компонент TemplateMaintenanceHost.exe отвечает за запуск утилиты ssh.exe, которая может работать как SOCKS5-прокси и по дефолту включена в состав новейших Windows. Итоговый туннель открывает злоумышленникам возможность подключаться к другим машинам в той же локальной сети.
По данным Kaspersky, новые поддельные письма Head Mare были разосланы на адреса сотен сотрудников российских госучреждений, финансовых институтов, промышленных предприятий и логистических компаний.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
