ВЕСТИ

Прямой Эфир

    Прогнозы

      Хакеры Cobalt вновь атаковали банки России и СНГ

      31.05.2018 12:18Распечатать

      Group-IB, международная компания, специализирующаяся на предотвращении кибератак и разработке продуктов для информационной безопасности, обнародовала новый отчет, раскрывающий преступления хакерской группы Cobalt в отношении банков и других организаций во всем мире. Последние на данный момент целевые атаки группы были проведены 23 и 28 мая. Их целями стали банки в России, странах СНГ и, предположительно, зарубежные финансовые организации. Фишинговые письма, используемые Cobalt 23 мая, рассылались от имени крупного антивирусного вендора.

      По данным Европола, хакеры Cobalt похитили свыше 1 млрд евро. Согласно исследованию Group-IB только в одном из инцидентов в европейском банке Cobalt попытались вывести 25 млн евро. В новом отчете эксперты Threat Intelligence Group-IB приводят доказательства связи Cobalt и группы Anunak (Carbanak). Предположительно, в новой майской атаке группы также действовали вместе.

      23 мая эксперты Threat Intelligence зафиксировали новую масштабную кибератаку хакерской группы Cobalt на ведущие банки России и СНГ. Несмотря на арест лидера группы в Испании, о чем стало известно 26 марта этого года, оставшиеся члены группы вновь проверили на прочность защиту финансовых учреждений. Примечательно, что последние атаки в России были 5 месяцев назад, в декабре 2017 г.

      Первая волна фишинговой рассылки была 23 мая в 13:21 по Москве. Впервые в практике Cobalt фишинговые письма были отправлены от имени крупного антивирусного вендора. Пользователь получил "жалобу" на английском языке о том, что с его компьютера якобы зафиксирована активность, нарушающая существующее законодательство. Получателю предлагалось ознакомиться со вложенным письмом и предоставить детальные объяснения. Если ответ не поступит в течение 48 часов, "антивирусная компания" угрожала наложить санкции на web-ресурсы получателя. Для того чтобы скачать письмо, необходимо было перейти по ссылке, что привело бы к заражению компьютера сотрудника банка.

      В атаке была задействована уникальная троянская программа Coblnt, использовавшаяся группой с декабря 2017 г. Почтовая рассылка шла с домена kaspersky-corporate.com, который показал прямую связь с лицом, на которое были ранее зарегистрированы домены для атак Cobalt.

      28 мая зафиксирована свежая вредоносная рассылка Cobalt. Письмо от имени Европейского центрального банка с ящика v.constancio@ecb-europa[.]info было разослано по банкам. В письме содержится ссылка на документ 67972318.doc, якобы описывающий финансовые риски. Файл 67972318.doc - документ Word, эксплуатирующий уязвимость CVE-2017-11882. В результате открытия эксплоита и успешной эксплуатации уязвимости произойдет заражение и первичное "закрепление" вредоносной программы в системе банка с помощью уникального загрузчика JS-backdoor, уникальной разработки Cobalt.

      В Group-IB не исключают, что жертвами этих кибератак могли быть не только банки России и СНГ: оба письма составлены на английском языке, что говорит о возможных целях в иностранных банках. Снова качество фишинговых писем оценивается экспертами компании как высокое. Например, в атаке 23 мая текст на английском языке стилизован под "юридическую жалобу", а поддельный сайт kaspersky-corporate.com также отличался более высоким уровнем качества, что нехарактерно для Cobalt. Эти и другие признаки вновь указывали на вероятность проведения оставшимися на свободе членами группа Cobalt совместной операции с другими преступными группами, в частности Anunak. Детальная информация с техническими индикаторами "работы" групп приводится в отчете "Cobalt: эволюция и совместные операции".

      "Cobalt по-прежнему активен: участники группы не прекращают атаковать финансовые и другие организации во всем мире, – комментирует Дмитрий Волков, CTO Group-IB. – Мы убеждены в том, что коллаборация Cobalt и Anunak, позволившая установить своего рода антирекорды этим группам в части реализации наиболее сложных атак, завершившихся выводом сотен миллионов долларов, еще не исчерпала себя. Для того чтобы дать возможность бизнесу и регуляторам рынка принять превентивные меры против действий этих преступников, мы публикуем технические индикаторы для защиты от фишинга, для идентификации инфраструктуры и методов, до сих пор используемых этими преступниками".
      

      Новости партнеров

      Тест. Вторая мировая война. Знаете ли вы ее предысторию?

      1 сентября 1939 года, ровно 80 лет назад, началась Вторая мировая война. Сегодня исторический ревизионизм набирает обороты. Россию все чаще не зовут на торжественные мероприятия, в честь каких либо памятных дат, связанных с войной.

      
      Форма обратной связи

      Отправить

      Форма обратной связи

      Отправить