В самой компании заявили, что «уверены в невиновности своего руководителя и его честной деловой репутации», а временным генеральным директором Group-IB стал Дмитрий Волков — второй сооснователь компании, который ранее работал на позиции технического директора.
В ночь на 29 сентября в столичном офисе Group-IB прошли обыски. Разбираемся, чем занималась компания последние годы.
Громкие киберпреступления последних лет
От 100 до 700 тыс. рублей ежедневно похищали участники хакерской группы TipTop со счетов клиентов крупнейших российских банков. Мошенники заражали мобильные устройства клиентов на ОС Android при помощи приложений, которые маскировали под мобильный банкинг, мессенджер Viber и интернет-магазин Google Play. После скачивания и открытия приложения на телефоне жертвы запускался вирус троян, который похищал данные карт пользователей. Злоумышленники могли «инфицировать» до 800 тыс. смартфонов. Летом 2019 года одному из участников TipTop был вынесен обвинительный приговор.
В мире криминалистики помнят еще одно сложное расследование — дело братьев Попелышей. В период с марта 2013 по май 2015 года эта группировка получила доступ к более чем 7000 счетов клиентов различных российских банков и похитила более 12,5 млн рублей. Месячный доход братьев составлял в среднем от 500 тыс. до 1,5 млн руб. Следствие по делу длилось два года.
Этими расследованиями занималась международная компания Group-IB, которая специализируется на кибербезопасности.
В конце 2020 года она приняла участие в совместной операции Европола и полиции Великобритании Carding Action 2020, направленной на борьбу с рынком продаж данных краденых банковских карт. Компания собрала, проанализировала и передала в правоохранительные органы информацию о 90 тыс. скомпрометированных банковских картах клиентов европейских банков. Ущерб европейским банкам, предотвращенный в результате операции, оценивается в €40 млн.
Российский рынок киберкриминалистики
Group-IB стала первой частной компанией, занимающейся киберкриминалистикой. В 2003 году четыре студента из МГТУ им. Баумана создали компанию, специализирующуюся на расследовании киберпреступлений. Первый клиент пришел к кибердетективам по знакомству — тогда дело о шантаже менеджера крупной нефтяной компании успешно раскрыли. А уже через пару лет к Group-IB обратилась европейская организация — это была фармацевтическая фирма, пострадавшая от кибермошенников. Преступники создавали сайты-клоны фармацевтического маркетплейса и продавали там поддельную продукцию. Тогда Group-IB добилась того, чтобы крупнейшие платежные системы мира Visa и MasterCard начали штрафовать банки за обслуживание интернет-магазинов, торгующих контрафактом. В результате бизнес мошенников сошел на нет.
Сегодня Group-IB насчитывает 600 сотрудников. Штаб-квартира компании по России и СНГ находится в Москве, но есть представительства и в других странах.
В 2013-2014 годах Group-IB занималась защитой символики и билетной продукции Зимних Олимпийских игр в Сочи (бренд Sochi 2014).
Международные кейсы
Group-IB часто взаимодействует с Интерполом и Европолом. В начале 2020 года вместе с международной организацией уголовной полиции Group-IB участвовала в операции Night Fury (расследовала деятельность группировки, похищавшей платежные данные пользователей интернет-магазинов по всему миру с помощью JS-снифферов). С Европолом у Group-IB подписан Меморандум о взаимопонимании — обе стороны помогают друг другу экспертизой, технологиями и знаниями.
Сегодня Group-IB — поставщик решений в сфере кибербезопасности, рекомендованный SWIFT и ОБСЕ.
Среди международных дел, которые вела компания, одним из наиболее ярких было расследование кибератак террористической организации ИГИЛ* (запрещена в России). Хакеры атаковали сайты российских госструктур, блокировали работу сервисов и осуществляли дефейс-атаки. Group-IB определила основные преступные группировки, причастные к данным акциям, и выявила алгоритм действий террористов.
В 2003 году на базе Group-IB была создана Лаборатория компьютерной криминалистики и исследования вредоносного кода. На момент открытия она была крупнейшей в Восточной Европе. К 2021 году на счету специалистов Лаборатории — более 65 тыс. часов реагирования на инциденты кибербезопасности в России и других странах.
В 2013 году Group-IB и CERT-GIB стали членами International Multilateral Partnership Against Cyber Threats (международного партнерства по противодействию киберугрозам). Это профессиональное объединение в сфере кибербезопасности, имеющее поддержу со стороны ООН.
Group-IB также расследовала деятельность хакерской группы Lazarus, которая атаковала сайты международных финансовых организаций и государственных учреждений США и Южной Кореи. Хакеры взламывали веб-ресурсы национальных регуляторов, удаленно управляли зараженными компьютерами и выводили деньги со счетов. Group-IB установила, что атаки производились с территории Северной Кореи.
Резонанс вызвало и другое аналитическое исследование — о хакерской группе MoneyTaker. На ее счету 16 атак в США, 3 — на банки России и 1 — в Великобритании. В США средний ущерб от одной атаки составил $500 тыс. В России средний объем выведенных средств — 72 млн рублей. Кроме денег, злоумышленники похищали документацию о системах межбанковских платежей, необходимую для подготовки дальнейших атак.
В 2021 году Интерпол при участии марокканской полиции и специалистов Group-IB задержал подозреваемого в интернет-мошенничестве под псевдонимом Dr HeX. Эксперты Group-IB отметили, что преступник действовал в Сети с 2009 года и к 2018-му атаковал как минимум 134 веб-сайта. Зафиксировать активность злоумышленника удалось благодаря системе Threat Intelligence & Attribution, которая обнаружила конструктор фишинговых сайтов. Этот фишинг-кит использовался в атаках на крупный французский банк.
Технологии Group-IB
Компания первой в России открыла центр оперативного реагирования на киберугрозы CERT-GIB. В случае возникновения у клиента непредвиденных инцидентов, связанных с информационной безопасностью, Group-IB локализует проблему, выясняет, каким образом она произошла, и идентифицирует людей, причастных к организации хакерской атаки.
Другим важным направлением деятельности компании является работа по предотвращению киберугроз. В этих целях Group-IB предоставляет услуги по аудиту информационной безопасности, анализирует защищенность внутренних IT-систем, имитирует целевые атаки для тренировки службы безопасности компании, выявляет утечки данных и следы компрометации в цифровой среде. В настоящий момент разработки Group-IB используют крупнейшие финансовые и промышленные организации России, включая «Альфа-банк», ВТБ, Сбербанк, «Тинькофф-банк», РУСАЛ, Ростех, Роскосмос.