Хакеры пишут банкам письма от имени регуляторов и атакуют их через контрагентов

01 авг 2017 13:35 #59705 от ICT
Компания Positive Technologies провела исследование, посвященное деятельности преступной группы Cobalt. Она известна с 2016 г., когда атаковала ряд банков СНГ и Восточной Европы. Атаки Cobalt начинаются с целевой рассылки фишинговых писем сотрудникам банка. Когда сотрудник открывает вредоносное вложение, его компьютер заражается, а затем вредоносные программы распространяется внутри сети банка, вплоть до систем управления банкоматами. Заражение банкоматов, в свою очередь, позволяет злоумышленникам похищать из них крупные суммы денег. Деятельность группы была разоблачена в прошлом году. По результатам FinCERT России начал предупреждать кредитно-финансовые организации об активности Cobalt. Однако это не остановило злоумышленников: в ответ на защитные меры они стали использовать более изощренные методы атак. Например, когда большую часть фишинговых писем с подделанным адресом отправителя стали блокировать спам-фильтры, злоумышленники начали активнее использовать поддельные домены, схожие по написанию с адресами реальных организаций. На сегодняшний день в результате совместной работы экспертов Positive Technologies и отраслевых регуляторов все фишинговые домены, выявленные в зоне .ru, и большая часть доменов в других зонах сняты с делегирования. Также в 2017 г. злоумышленники стали активно атаковать различные компании, сотрудничающие с банками, а затем рассылать фишинговые письма из инфраструктур атакованных организаций с использованием учетных записей и почтовых адресов их сотрудников. Такой подход обеспечивает высокий уровень доверия к отправителю. Успешности атак способствует и тематика писем: в начале 2017 г. 60% фишинговых писем от группы Cobalt были посвящены условиями сотрудничества между банками и их контрагентами. В этом году к списку традиционных целей Cobalt в странах СНГ, Восточной Европы и Юго-Восточной Азии, добавились компании, расположенные в Западной Европе, а также в Северной и Южной Америке. При этом 75% компаний в фишинговой рассылке связаны с финансами, а оставшиеся 25% относятся к другим сферам (государственные организации, телекомы, услуги и развлечения, и т.д.). В Positive Technologies предполагают, что их атакуют с целью использования в качестве промежуточного звена. Кроме того, хакеры начали вести рассылки от имени регуляторов по теме информационной безопасности. Подобные письма злоумышленники рассылали с поддельных доменов, в том числе — от имени платежных систем VISA и Mastercard, FinCERT Центрального Банка России и Национального Банка Республики Казахстан. Еще одна тенденция — рассылки на личные адреса сотрудников организаций, а не только на корпоративные почтовые ящики. При этом рассылки проводятся таким образом, чтобы письма доставлялись в рабочее время. Таким образом, даже просматривая личную почту, пользователь скорее всего заразит офисный компьютер. Авторы исследования отмечают, что пока нет возможности достоверно оценить фактические убытки компаний от деятельности группы Cobalt в 2017 г. Однако исходя из масштабов деятельности группы по всему миру, нельзя исключить серьезные последствия для финансовых организаций в ближайшем будущем. «Помимо банков, являющихся уже традиционными для группы Cobalt целями, в число атакованных начали входить и другие, связанные с финансовым сектором, компании: страховые, инвестиционные фонды, брокеры, ― уточняет Эльмар Набигаев, руководитель отдела реагирования на угрозы информационной безопасности Positive Technologies. ― В этом году группа активнее начала атаковать контрагентов, чтобы уже через них добраться до банков. Так, например, одной из успешных атак на банк предшествовал взлом инкассаторской компании. При этом защита самого банка для проникновения снаружи была устойчива, но Cobalt воспользовался нюансами современного бизнеса, связанными с зависимостью от многочисленных контрагентов, чей периметр гораздо слабее». Your browser does not support the video tag. CNews Forum 2017: Информационные технологии завтра Ссылка на источник


  • Сообщений: 103416

  • Пол: Не указан
  • Дата рождения: Неизвестно
  • Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

    Похожие статьи

    ТемаРелевантностьДата
    Хакеры атаковали десятки российских банков, разослав зараженные письма от имени ЦБ19.79Среда, 16 марта 2016
    В СМИ рассылались поддельные письма от имени Роскомнадзора14.81Понедельник, 05 февраля 2018
    Зараженные письма идут от имени авиакомпаний, автодилеров и СМИ14.65Понедельник, 24 июня 2019
    От имени Роскомнадзора рассылают фальшивые письма о проведении проверок14.49Вторник, 21 февраля 2017
    Хакеры атакуют ЦБ России14.23Четверг, 20 августа 2015
    Хакеры атакуют постояльцев гостиниц Hyatt13.92Пятница, 25 декабря 2015
    Как хакеры атакуют корпоративные сети: аналитика от Positive Technologies13.62Понедельник, 29 мая 2017
    Eset: хакеры Turla атакуют пользователей Microsoft Outlook13.62Понедельник, 27 августа 2018
    DDоS в каждый дом: как хакеры атакуют операторов и энергосбытовые компании в регионах13.48Вторник, 13 февраля 2024
    Исследование «Лаборатории Касперского»: какие индустрии хакеры атакуют чаще других13.34Вторник, 27 марта 2018

    Мы в соц. сетях