ВЕСТИ

Прямой Эфир

    Прогнозы

      Глава хакеров Сobalt арестован, атаки продолжаются

      В Испании недавно был задержан лидер хакерской группировки Cobalt, атаковавшей около сотни финансовых организаций в 40 странах. Однако атаки на банки не прекратились. Group-IB, занимающаяся предотвращением и расследованием киберпреступлений, зафиксировала очередную кибератаку с использованием вирусов-вымогателей со стороны известной группировки Cobalt, говорится в сообщении компании.

      Задержание лидера хакерской группы Сobalt в испанском городе Аликанте пока не привело к прекращению атак на банки. Утром 26 марта (ориентировочно в 11:00 по Москве) Центр реагирования на киберинциденты (CERT) Group-IB зафиксировал фишинговую рассылку Cobalt от имени SpamHaus, известной некоммерческой организации, которая борется со спамом и фишингом.

      В письме, отправленном с адреса j.stivens@spamhuas.com (реальный домен Spamhaus — spamhaus.org), утверждается, что IP-адреса компании-получателя были заблокированы из-за подозрений в рассылке спама. Для того чтобы "решить" проблему, авторы письма предлагали жертве перейти по ссылке: она вела на загрузку документа Microsoft Office с вредоносным вложением. Изучив структуру атаки, специалисты отдела анализа вредоносного кода подтвердили, что за рассылкой стоит именно Cobalt.

      Cobalt — одна из самых активных преступных групп, совершающая целенаправленные атаки на банки. По данным Европола, группировка похитила около 1 млрд евро у 100 банков в 40 странах мира. 26 марта Европол сообщил о масштабной операции, проведенной испанской национальной полицией при поддержке Европола, ФБР, правоохранительных органов Румынии, Тайваня и Республики Беларусь. В результате в Испании был задержан лидер Cobalt, а на Украине — еще участник группы, занимавшийся разработкой вредоносного программного обеспечения.

      "Мы не исключаем, что оставшиеся на свободе члены Cobalt некоторое время будут продолжать атаки, в том числе чтобы показать, что их задержанные подельники не причастны к этой группе. Однако, учитывая арест лидера группы, такие атаки вскоре сойдут на нет. Вероятнее всего, члены Cobalt примкнут к действующим группам или в результате очередного "передела" появится новая киберкриминальная структура, атакующая банки в разных странах. В любом случае не стоит списывать со счетов наследие Cobalt — и с точки зрения ресурсов, и с точки зрения инструментария", — приводятся в сообщении слова руководителя департамента Threat Intelligence и CTO Group-IB Дмитрия Волкова.

      Начиная с 2016 г. Cobalt успешно атаковала банки в России, Великобритании, Нидерландах, Испании, Румынии, Белоруссии, Польши, Эстонии, Болгарии, Грузии, Молдавии, Киргизии, Армении, Тайване и Малайзии и других странах. Криминалисты Group-IB одними из первых исследовали нападения Cobalt на российские и зарубежные банки и в ноябре 2016 г. выпустили публичный отчет о ее деятельности, содержащий технические индикаторы, позволяющие идентифицировать группу.

      Первоначально хакеры специализировались на бесконтактных (логических) атаках на банкоматы. Кроме систем управления банкоматами, киберпреступники каждый раз старались получить доступ к платежным шлюзам и карточному процессингу. В конце 2017 г. впервые в истории финансовой системы России они совершили успешную атаку на банк с использованием системы межбанковских переводов (SWIFT). Банк России называет преступную группу Cobalt главной угрозой для российских банков — все прошедшие 11 успешных атак на российские банки с хищением более 1 млрд руб. приписывают именно ей.

      Долгое время "секрет успеха" Cobalt состоял в том, что хакеры группы постоянно тестировали новые инструменты и схемы, часто меняли локацию проведения атак и хорошо знали, как работают банки. После заражения компьютеров сотрудников того или иного банка Cobalt ждет от двух до четырех недель, для того чтобы изучить внутреннюю инфраструктуру организации, наблюдает за рабочим процессом и только после этого проводит атаку. То есть атака готовится в течение длительного времени, что позволяет им выводить большие суммы денег.

      Стоит отметить, что в последнее время целью атак этой группы становились не только банки, но и разработчики ПО, СМИ, а также страховые компании. С получением доступа к инфраструктуре таких агентов последующие атаки непосредственно на финансовые учреждения выполняются от имени и с серверов зараженных подрядчиков, что значительно увеличивало вероятность успешного заражения.

      Для заражения хакеры Cobalt использовали грамотно составленные фишинговые письма, в которых содержались либо сами эксплоиты, либо ссылки на вредоносные программы. После того как сотрудник банка открывал вредоносное вложение, происходило заражение компьютера и дальнейшее распространение вируса в сети. В среднем промежуток от проникновения до вывода денег составляет три-четыре недели, средняя сумма хищения — 100 млн руб.

      Новости партнеров

      Форма обратной связи

      Отправить

      Форма обратной связи

      Отправить