Основатель Group-IB Илья Сачков пожаловался на условия содержания в СИЗО

Основатель Group-IB Илья Сачков пожаловался на условия содержания в СИЗО

Основатель Group-IB Илья Сачков пожаловался на условия содержания в СИЗО

Члену московской Общественной наблюдательной комиссии Александру Хуруджи удалось поговорить с Ильей Сачковым, которого после ареста отправили в СИЗО «Лефортово». Как оказалось, основателя Group-IB лишили возможности читать газеты, смотреть телевизор — даже сообщать близким о своих нуждах, чтобы те могли принести соответствующую передачу.

В интервью журналистам Хуруджи рассказал, что арестованный по подозрению в госизмене Сачков спокоен и разумен, но «находится в шоковом состоянии». Похоже, именитый предприниматель так и не осознал, что с ним произошло и почему.

«Сачков находится в одиночной камере, и у него главная жалоба в том, что он полностью отрезан от внешнего мира, — цитирует Forbes слова правозащитника. — Он говорит, что до него не доходят газеты, у него нет телевидения, так как не работает, ему не доходят письма. Оказался в полном информационном вакууме».

Кроме того, основатель известной ИБ-компании пожаловался, что ему не разрешили прочесть письма, поступившие в СИЗО на его имя, а отправленные не доходят до адресата. Из-за этого Сачков не может попросить, чтобы ему принесли в передаче недостающие средства гигиены (мыло, бритву и т. п.), теплую одежду, медикаменты.

Заключенный также посетовал, что ему не предлагают продукты для диетического питания, хотя правила содержания в СИЗО это предусматривают. Матрасы и подушки, на которых невозможно спать, так и не заменили (подобные жалобы, по словам Хуруджи, не редкость). Примечательно, что на вопрос, кто его адвокат, Сачкову ответить не дали.

Напомним, основателя Group-IB арестовали по подозрению в сливе секретов за бугор 28 сентября. Решением Лефортовского суда Москвы предпринимателя заключили под стражу на два месяца. Вину свою он не признает; апелляция уже подана, Мосгорсуд рассмотрит ее 21 октября.

После ареста мать Сачкова написала письмо Владимиру Путину с просьбой «честно разобраться в деле» и освободить ее сына. В комментарии для РИА новости пресс-секретарь президента Дмитрий Песков заявил, что в Кремле этого письма не видели, но понимают эмоциональное состояние матери, так как против ее сына выдвигаются очень серьезные обвинения.

Фишеры атакуют российский авиапром через счета и ставят AnyDesk

Исследователи Seqrite обнаружили фишинговую кампанию против российских аэрокосмических компаний. Схема получилась уже знакомая: письмо якобы со счётом от реальной авиационной организации. Но внутри не бухгалтерия, а удалённый доступ к компьютеру жертвы через AnyDesk.

Атака начинается с письма, отправленного от имени ВНИИР. Домен похож на настоящий, тема про счёт, оформление с логотипом Минпромторга. Для убедительности всё как надо.

Однако фейковый домен зарегистрировали всего за несколько дней до рассылки, а список получателей скрыт, что намекает на массовую отправку.

 

Во вложении лежит запароленный архив. Пароль заботливо указан в тексте письма: пользователю удобно, защитным системам — уже не очень. Внутри находится дроппер, собранный с помощью Smart Install Maker. После запуска он показывает на экране PDF-приманку со счётом, а сам тем временем распаковывает файлы во временную папку и тянет с командного сервера второй архив.

 

В этом наборе — портативный AnyDesk, почтовая утилита Blat, Tray Minimizer и batch-скрипт. Последний делает всю грязную работу: ждёт около минуты, чтобы пережить песочницы, задаёт фиксированный пароль AnyDesk, копирует его в ProgramData и запускает. После этого операторы могут заходить на машину без лишних вопросов и всплывающих просьб.

Затем скрипт упаковывает настройки AnyDesk в защищённый архив и отправляет их злоумышленникам через Blat по SMTP. Для закрепления создаётся задача с кривым названием Auto apdate, а временные файлы удаляются, чтобы расследователям было веселее копаться в следах.

 

Seqrite подозревает связь с группой Rare Werewolf, также известной как Librarian Ghouls и Rezet. Её активность фиксируют как минимум с 2019 года, а среди целей ранее были организации в России, Беларуси и Казахстане, включая аэрокосмический сектор и тяжёлую промышленность.

Главная фишка атаки — минимум экзотики. Вместо редкого вредоноса используются легитимные инструменты: AnyDesk, Blat и переименованный WinRAR.

RSS: Новости на портале Anti-Malware.ru