Компания Group-IB, разрабатывающая софт для кибербезопасности и оказывающая услуги по защите авторских прав в интернете, больше года искала инвесторов и продала 20% акций инвестфондам Run Capital и Altera Capital. Новые совладельцы помогут в расширении ее бизнеса за рубежом.
Люксембургская Altera Investment Fund SICAV-SIF (структура фонда Altera Capital, управляющего $600 млн) и фонд Run Capital, пайщиками которого являются основатели платежной системы Qiwi Николай и Андрей Романенко и Андрей Муравьев, приобрели по 10% Group-IB, рассказали в Run Capital. Соучредитель и управляющий партнер Altera Capital Кирилл Андросов, ранее заместитель руководителя аппарата правительства, а сейчас председатель совета директоров "Аэрофлота", не ответил. У менеджмента и основателей компании осталось 80% Group-IB, сказал ее гендиректор Илья Сачков. Объем инвестиций, направленных в Group-IB, стороны не раскрывают,
Group-IB создает программное обеспечение по информбезопасности, сотрудничает с правоохранительными органами в расследовании киберинцидентов, а также оказывает услуги по защите авторских прав в интернете (например, добивается блокировки доменов, незаконно использующих бренд). Решениями Group-IB, по собственным данным, пользуются Сбербанк, Альфа-банк, "МегаФон", "Ростех" и др. По данным "СПАРК-Интерфакс", выручка ООО "Группа информационной безопасности" в 2015 году выросла с 109 млн до 193,6 млн руб., а чистый убыток по итогам 2014 года в 31 млн руб. сменился прибылью в размере 50 млн руб. в 2015 году.
Group-IB больше года искала покупателей 20-процентной доли. В феврале 2015 года, после того как менеджеры Group-IB выкупили 50% акций компании у фонда Leta Group, Илья Сачков говорил о планах привлечь $20 млн по оценке $80-100 млн за всю компанию. В апреле 2015 года Фонд развития интернет-инициатив (ФРИИ) объявил, что готов вложить в Group-IB 210 млн руб. Пока сделка не состоялась, помешала девальвация рубля, сократившая оценку Group-IB и поставленные ФРИИ условия "упаковать сервисы Group-IB в коробочные продукты и доказать, что эти продукты они могут продавать". ФРИИ пересматривает условия сделки с Group-IB, сейчас стороны на финальном этапе переговоров, сообщили в фонде. Илья Сачков называет ФРИИ одним из тех стратегов, с которыми Group-IB дружит и сотрудничает.
Оценка 100% Group-IB в сделке с Altera Capital и Run Capital "близка к озвученной Ильей Сачковым в 2015 году, а стоимость доли фондов — $16-20 млн", рассказал собеседник близкий к сделке. Источник на венчурном рынке, утверждает, что в документах о сделке Group-IB не видел таких оценок. Для текущего уровня и динамики развития Group-IB эти цифры выглядят завышенными, считает управляющий директор Prostor Capital Алексей Соловьев.
"Существуют механизмы, которые защищают интересы инвесторов при раундах с завышенной оценкой, например liquidation preference. Он гарантирует инвестору минимальную доходность вне зависимости от того, за сколько компания будет продана впоследствии. На их месте я бы защитил свои интересы таким образом",— отмечает эксперт.
С новыми совладельцами компания получает "умные деньги", уверен Илья Сачков. У Altera Capital есть экспертиза на рынке информбезопасности США, а Run Capital "хорошо разбирается в том, как работает финансовая отрасль", объясняет он. Акционер Run Capital Андрей Романенко говорит, что познакомился с решениями Group-IB еще в 2013 году, когда она разрабатывала программу защиты пользователей Qiwi от мошенничества.
"Уже тогда ее технологии намного опережали конкурентов",— утверждает он. По словам Ильи Сачкова, полученные от Altera Capital и Run Capital средства пойдут на разработку софта, на экспансию в США, Западную Европу, на Ближний Восток и в Азию. "Во-первых, с конкурентами надо бороться на их рынках, а во-вторых, необходимо наращивать продажи там, где активно и быстро развивается экономика",— говорить господин Сачков.
Исследователи из Jamf Threat Labs раскопали старый, но очень живучий зловред для macOS под названием ChillyHell. Оказалось, что этот модульный бэкдор спокойно распространялся как минимум с 2021 года — и всё это время был одобрен Apple и даже подписан легитимным разработчиком.
Что это значит? Всё просто: macOS воспринимала его как вполне безобидное приложение. Более того, вредоносный файл с 2021 года лежал на Dropbox в открытом доступе. Но в VirusTotal он попал только в мае 2025-го.
Впервые о ChillyHell заговорили ещё в 2023 году, когда Mandiant связала его с группой UNC4487. Но тогда вредонос тоже не попал в чёрные списки.
закрепляться в системе через LaunchAgent, LaunchDaemon или подмену профиля оболочки (например, .zshrc);
использовать редкий для macOS приём timestomping — подгонять метки времени файлов под легитимные;
переключаться между разными C2-протоколами;
подгружать новые модули, брутфорсить пароли, собирать логины и разворачивать дополнительные атаки.
По словам экспертов, бэкдор создан, скорее всего, киберпреступной группировкой, а не для массовых заражений. Apple уже отозвала связанные с ним сертификаты, но сам факт, что вредонос четыре года ходил «под прикрытием» — тревожный сигнал.
Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
