Новые решения Group-IB помогут бороться с фродом и составить карту угроз

Новые решения Group-IB помогут бороться с фродом и составить карту угроз

Group-IB открыла два новых класса решений для исследования киберугроз и охоты за атакующими — Threat Intelligence & Attribution и Threat Hunting Framework. «Умная» экосистема Group-IB, объединившая инновационные запатентованные технологии компании сфере кибербезопасности, впервые была представлена в рамках международной конференции CyberCrimeCon 2020.

Group-IB первой в мире создала систему класса Threat Intelligence & Attribution, не имеющую аналогов в мире. TI&A способна гибко формировать карту угроз под конкретную компанию, динамически выстраивая связи между разрозненными событиями и атрибутируя атаку до конкретной хакерской группы. Появление на рынке TI&A знаменует собой открытие нового класса решений для сбора данных об угрозах и атакующих, релевантных для конкретной организации, с целью исследования, проактивной охоты за хакерами и защиты сетевой инфраструктуры.

Второй инновационной премьерой нового класса стала комплексная система Threat Hunting Framework, предназначенная для защиты ИТ и технологических сетей от неизвестных ранее угроз и целевых атак, поиска угроз как внутри, так вне сети, а также расследования инцидентов кибербезопасности и немедленного реагирования на них в целях минимизации последствий.

По данным аналитического отчета Hi-Tech Crime Trends 2020-2021, посвященного исследованию высокотехнологичных преступлений в мире, сращивание разных слоев киберкриминального андеграунда привело к появлению новых угроз, следствием которых стало увеличение ущерба от атак. Так, по самым минимальным подсчетам аналитиков, суммарный ущерб, причиненный компаниям в 45 странах от публично известных атак программ-шифровальщиков составил свыше $1 млрд. Взрывными темпами рос рынок продажи доступов в скомпрометированную инфраструктуру компаний: за год он увеличился в 4 раза и достиг $6 189 388. Количество «продавцов» взлетело до 63, среди них — как представители киберкриминала, так и прогосударственные атакующие. Объем рынка кардинга, связанного с кражей данный банковских карт, вырос на 116% по сравнению с прошлым периодом и вплотную приблизился к $2 млрд. В этих условиях коммерческий сектор и государственные предприятия вынуждены переоценить свои стратегии защиты, делая упор на хантинг за угрозами, релевантными для своей сферы деятельности.

Сегодня Group-IB впервые представила результаты эволюционного развития собственных продуктов для расследования высокотехнологичных преступлений и предотвращения кибератак Threat Hunting Framework и Threat Intelligence & Attribution. Сложные инженерные разработки Group-IB интегрированы между собой и объединены в «умную» технологическую экосистему, способную полностью автоматизировано останавливать целевые атаки на организацию, давая команде безопасности инструменты соединения разрозненных событий вокруг атаки, атрибуции угроз, анализа вредоносного кода и реагирования на инцидент. В их основе – запатентованные технологии и изобретения инженерных команд и аналитиков Group-IB.

В настоящее время у Group-IB 33 патента (6 — США, 5 — Нидерланды, 4 — Сингапур, остальные - Россия). Все они выданы на технологические изобретения, составляющие основу TI&А, THF и других инновационных продуктов компании. Кроме того, у Group-IB 55 заявок (14 — США, 5 — Нидерланды, 12 — Сингапур, 10 — международных, 14 — Россия).

«Динамика развития киберпреступности сигнализирует рынку о том, что основную массу угроз вы должны уметь отражать автоматически, но этого мало, — комментирует Дмитрий Волков, CTO Group-IB, — Злоумышленники, располагающие деньгами, умом и ресурсами, со временем научатся обходить любую автоматизированную систему обнаружения. Нужно быть готовым к этому, наращивая опыт хантинга за угрозами с помощью «заточенных» под это инструментов. В этой борьбе недопустима простая блокировка: завтра вас атакуют с учетом того, как вы остановили угрозу сегодня. Хантинг – это постоянный процесс, построенный на умении использовать огромные массивы данных, начиная от системных событий и мета-данных трафика и заканчивая доменами, хостами и профайлами атакующих группировок. Уметь работать с этим – значит обладать профессией «третхантера» — охотника за киберугрозами и хакерами. Это и есть будущее кибербезопасности».

Инженерная команда Group-IB руководствуется несколькими принципами при создании технологий. Во-первых, системы и алгоритмы обнаружения должны «знать» злоумышленников, а специалисты по кибербезопасности — получать либо качественное техническое обоснование, либо полный разведывательный контекст об угрозе: кто атакует, какова мотивация атакующих, какова их тактика, какими инструментами пользуются и что потенциально будут использовать при дальнейших попытках атак. Система защиты должна эффективно обнаруживать и немедленно блокировать угрозы, но сегодня этого недостаточно. Для построения работающих стратегий кибербезопасности — детектирование лишь начало работы.

Во-вторых, процесс обогащения данными систем защиты должен быть автоматизирован. Для этого механизм анализа выходит за рамки простого обнаружения угрозы: крайне важно извлечь и полностью запустить вредоносный код в безопасной изолированной среде, собрав «урожай» из индикаторов, который помогут в дальнейшем хантинге за угрозами в сети. В-третьих, хантинг приходит на смену поиска угроз для того, чтобы найти то, что могло быть упущено в прошлом и потенциально может быть использовано злоумышленниками в будущем.

Обнаружить угрозу — недостаточно

Group-IB Threat Hunting Framework – инновационное решение для унифицированной защиты предприятия целиком: от традиционных IT-сегментов до рабочих мест удаленных сотрудников и  технологических сегментов (ОТ-сетей) производственных предприятий. Единственная в своем классе интегрированная платформа безопасности, использующая технологии «искусственного интеллекта», определяет единые стандарты защиты для таких разных окружений – это «квантовый скачок» рынка информационной безопасности, меняющий привычный расклад в индустрии.

Ключевыми задачами нового продукта являются обнаружение неизвестных ранее угроз и целевых атак, блокировка задетектированных угроз и предоставление автоматизированных инструментов для обнаружения связанных угроз как внутри, так и за пределами защищенного периметра, а также расследование инцидентов кибербезопасности и реагирование на них. Архитектура Threat Hunting Framework включает несколько основных функциональных модулей, каждый из которых несет ряд инноваций и по своей функциональности выходит за рамки существующих продуктовых категорий, по сути определяя принципиально новые типы инструментов защиты от кибератак.

Для выявления угроз на сетевом уровне за счет глубокого анализа сетевого трафика и поддержки сотен сетевых протоколов, используется Sensor. Решение выявляет угрозы и зараженные узлы, анализируя сетевой трафик и предоставляет защиту не только традиционным IT-сегментам, но и промышленным сетям при помощи своего Sensor Industrial, обеспечивающего контроль целостности программного обеспечения и прошивок узлов АСУ ТП за счет анализа промышленных протоколов и комплексной защиты сети, детектируя угрозы гибко настраиваемыми политиками и специальным классификатором, использующим машинное обучение.

Еще одна инновация Group-IB — запатентованная технология «детонации» вредоносного кода Polygon, устанавливающая новые отраслевые стандарты для анализа файлов. Она детектирует угрозы за счет поведенческого анализа электронных писем, файлов и содержимого ссылок и запускает вредоносный код в изолированной среде, вызывая его «детонацию» — максимально полное выполнение, позволяющее получить обогащенные индикаторы атаки и выполнить атрибуцию обнаруженной угрозы.

Электронная почта по-прежнему является ключевой системой для начального проникновения киберпреступников в сеть компаний. Это проблема, влияющая на бизнес любого масштаба. Отвечая на этот вызов, Group-IB впервые представила облачное решение для защиты электронной почты Atmosphere, главная цель которого сделать передовые технологии выявления угроз в электронной почте доступными и простыми во внедрении, оставляя при этом саму технологию частью Threat Hunting Framework и предоставляя не только качественную фильтрацию вредоносных электронных писем, но и все остальные преимущества платформы THF: полную детонацию вредоносного кода, атрибуцию атак и интеграцию с другими модулями экосистемы.

Также Group-IB представила инновационную защиту для рабочих станций пользователей — Huntpoint. Этот модуль фиксирует полную хронологию событий на компьютере сотрудника, делает ее доступной как для наблюдения в реальном времени, так и ретроспективно, обеспечивая обнаружение аномального поведения, блокировку вредоносных файлов, мгновенную изоляцию атакованных хостов и сбор криминалистически значимых данных для дальнейшего исследования.

За полностью автоматизированный анализ и корреляцию событий в сети отвечает Huntbox. Этот модуль предоставляет полную картину происходящего внутри и вне сети, помогая проактивно охотиться за угрозами и выявлять действия атакующих группировок, направленных конкретно на компанию. Также возможности комплексной платформы Group-IB Threat Hunting Framework усилены за счет функционала модуля Decryptor для расшифровки TLS/SSL-трафика в защищаемой инфраструктуре. Реализована поддержка российских протоколов шифрования по ГОСТ.

Group-IB открывает доступ к своим внутренним инструментам слежения за хакерами

Одна из самых высоконагруженных систем Group-IB, оперирующая данными о хакерских группах, их инструментах и инфраструктуре, Threat Intelligence & Attribution, шагнула на несколько уровней вверх. Появление на рынке TI&A знаменует собой открытие нового класса решений для сбора данных об угрозах и атакующих, релевантных для конкретной организации, с целью исследования, проактивной охоты за хакерами и защиты сетевой инфраструктуры.

Объединяя в себе уникальные источники данных, опыт расследования высокотехнологичных преступлений и реагирования на сложные многоступенчатые атаки по всему миру, именно TI&A во многом «накачивает» данными для хантинга за атакующими и угрозами все остальные продукты Group-IB. Система «хранит» данные о хакерах и их связях, доменах, IP, инфраструктуре за 15 лет, включая те, что преступники пытались удалить. Обширный функционал позволяет настраивать ее под ландшафт угроз не только отдельной отрасли, но и отдельной компании в конкретной стране.

В центре внимания новой TI&A — атакующие. Вокруг них выстроена вся идеология системы: выявить не только угрозу, но того, кто за ней стоит. Массивы данных, которыми она оперирует, помогают оперативно связывать атаку с группировкой или конкретными персоналиями. TI&A «умеет» анализировать и атрибутировать угрозы, с которыми уже столкнулась компания, обнаруживать утечки и компрометацию пользователей, идентифицировать инсайдеров, торгующих данными компании на андеграудных ресурсах, выявлять и блокировать атаки, нацеленные на компанию и ее клиентов, независимо от отрасли.

Вывод на рынок TI&A открывает доступ к внутренним инструментам Group-IB до этого времени использовавшимся исключительно командами реагирования, хантинга и киберразведки компании. Теперь каждому специалисту, использующему TI&A, доступен поиск по крупнейшей коллекции данных даркнета, продвинутая модель профилирования хакерских групп, а также полностью автоматизированный графовый анализ, который за секунды помогает провести корреляцию данных и атрибутировать угрозы до конкретной преступной группировки или физического лица.

Таким образом, TI&A позволяет обнаруживать атаки, не покрываемые традиционными средствами защиты, глубже понимать методы работы продвинутых атакующих, а также оценивать, может ли им противостоять защищаемая инфраструктура. Такой подход помогает мотивировать и совершенствовать внутренние команды кибербезопасности, а также усиливать их экспертизу за счет глубокого понимания ландшафта угроз для защищаемой инфраструктуры.

TI&A — сложная инженерная разработка Group-IB, интегрированная в «умную» технологическую экосистему, способную полностью автоматизировано останавливать целевые атаки на организацию, давая команде безопасности инструменты соединения разрозненных событий вокруг атаки, атрибуции угроз, анализа вредоносного кода и немедленного реагирования на инцидент.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Боты FreakOut атакуют Linux-устройства через свежие уязвимости

Новый Linux-зловред FreakOut приобщает зараженное устройство к ботнету, способному проводить DDoS-атаки и добывать Monero за счет мощностей своих жертв. Вредоносная программа проникает в систему посредством эксплуатации критических уязвимостей, для которых уже выпущены патчи.

Первые атаки FreakOut были обнаружены 8 января. За неполную неделю эксперты Check Point Software Technologies насчитали свыше 380 попыток эксплойта у своих клиентов — в основном в США (27%) и странах Западной Европы (24%). Чаще прочих зловред атаковал финансовые организации, госструктуры и медицинские учреждения.

Установлено, что для доставки новых ботов используются три уязвимости, позволяющие удаленно выполнить вредоносный код (все — 9,8 балла по CVSS):

  • CVE-2020-28188 — возможность внедрения команд в TOS, операционной системе от вендора сетевых накопителей TerraMaster;
  • CVE-2021-3007 — десериализация недоверенных данных в Zend Framework, популярном наборе библиотек для создания веб-приложений;
  • CVE-2020-7961 — десериализация недоверенных данных в Liferay Portal, CMS-системе с открытым исходным кодом, используемой для создания сайтов и порталов.

При успешной отработке эксплойта в систему со стороннего сервера загружается Python-скрипт — IRC-бот, обладающий широкими возможностями. Он способен по команде выполнять сканирование портов, собирать информацию, генерировать и отправлять пакеты данных, проводить анализ сети, создавать и нацеливать DDoS-поток типа flood, добывать криптовалюту с помощью майнера XMRig. Зловред также умеет распространяться на другие устройства по сети и атаковать мишени за ее пределами, используя все те же эксплойты.

 

Адрес командного сервера FreakOut жестко прописан в его коде. На этом сервере эксперты обнаружили записи, свидетельствующие о взломе 185 Linux-устройств.

Компания TerraMaster собиралась пропатчить TOS, выпустив версию 4.2.07 — она вышла в начале прошлого месяца. Обновление для Liferay Portal (7.2.1) тоже уже доступно. Проект Zend Framework больше не поддерживается, пользователям предлагается установить патч, созданный участниками Laminas Project.

Эксперты Check Point также рекомендуют принять дополнительные меры защиты:

  • Проверить Linux-устройства на наличие других уязвимостей и предельно обновить весь софт.
  • Использовать систему класса IPS для предотвращения эксплойтов.
  • Конечные устройства снабдить антивирусами или подписаться на услуги расширенной защиты, работающей на таком уровне.
Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru