Хакеры пишут банкам письма от имени регуляторов и атакуют их через контрагентов
01 авг 2017 13:35 #59705
от ICT
Компания Positive Technologies провела исследование, посвященное деятельности преступной группы Cobalt. Она известна с 2016 г., когда атаковала ряд банков СНГ и Восточной Европы. Атаки Cobalt начинаются с целевой рассылки фишинговых писем сотрудникам банка. Когда сотрудник открывает вредоносное вложение, его компьютер заражается, а затем вредоносные программы распространяется внутри сети банка, вплоть до систем управления банкоматами. Заражение банкоматов, в свою очередь, позволяет злоумышленникам похищать из них крупные суммы денег. Деятельность группы была разоблачена в прошлом году. По результатам FinCERT России начал предупреждать кредитно-финансовые организации об активности Cobalt. Однако это не остановило злоумышленников: в ответ на защитные меры они стали использовать более изощренные методы атак. Например, когда большую часть фишинговых писем с подделанным адресом отправителя стали блокировать спам-фильтры, злоумышленники начали активнее использовать поддельные домены, схожие по написанию с адресами реальных организаций. На сегодняшний день в результате совместной работы экспертов Positive Technologies и отраслевых регуляторов все фишинговые домены, выявленные в зоне .ru, и большая часть доменов в других зонах сняты с делегирования. Также в 2017 г. злоумышленники стали активно атаковать различные компании, сотрудничающие с банками, а затем рассылать фишинговые письма из инфраструктур атакованных организаций с использованием учетных записей и почтовых адресов их сотрудников. Такой подход обеспечивает высокий уровень доверия к отправителю. Успешности атак способствует и тематика писем: в начале 2017 г. 60% фишинговых писем от группы Cobalt были посвящены условиями сотрудничества между банками и их контрагентами. В этом году к списку традиционных целей Cobalt в странах СНГ, Восточной Европы и Юго-Восточной Азии, добавились компании, расположенные в Западной Европе, а также в Северной и Южной Америке. При этом 75% компаний в фишинговой рассылке связаны с финансами, а оставшиеся 25% относятся к другим сферам (государственные организации, телекомы, услуги и развлечения, и т.д.). В Positive Technologies предполагают, что их атакуют с целью использования в качестве промежуточного звена. Кроме того, хакеры начали вести рассылки от имени регуляторов по теме информационной безопасности. Подобные письма злоумышленники рассылали с поддельных доменов, в том числе — от имени платежных систем VISA и Mastercard, FinCERT Центрального Банка России и Национального Банка Республики Казахстан. Еще одна тенденция — рассылки на личные адреса сотрудников организаций, а не только на корпоративные почтовые ящики. При этом рассылки проводятся таким образом, чтобы письма доставлялись в рабочее время. Таким образом, даже просматривая личную почту, пользователь скорее всего заразит офисный компьютер. Авторы исследования отмечают, что пока нет возможности достоверно оценить фактические убытки компаний от деятельности группы Cobalt в 2017 г. Однако исходя из масштабов деятельности группы по всему миру, нельзя исключить серьезные последствия для финансовых организаций в ближайшем будущем. «Помимо банков, являющихся уже традиционными для группы Cobalt целями, в число атакованных начали входить и другие, связанные с финансовым сектором, компании: страховые, инвестиционные фонды, брокеры, ― уточняет Эльмар Набигаев, руководитель отдела реагирования на угрозы информационной безопасности Positive Technologies. ― В этом году группа активнее начала атаковать контрагентов, чтобы уже через них добраться до банков. Так, например, одной из успешных атак на банк предшествовал взлом инкассаторской компании. При этом защита самого банка для проникновения снаружи была устойчива, но Cobalt воспользовался нюансами современного бизнеса, связанными с зависимостью от многочисленных контрагентов, чей периметр гораздо слабее». Your browser does not support the video tag.
CNews Forum 2017: Информационные технологии завтра
Ссылка на источник
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Похожие статьи
Тема | Релевантность | Дата |
---|---|---|
Хакеры атаковали десятки российских банков, разослав зараженные письма от имени ЦБ | 19.79 | Среда, 16 марта 2016 |
В СМИ рассылались поддельные письма от имени Роскомнадзора | 14.81 | Понедельник, 05 февраля 2018 |
Зараженные письма идут от имени авиакомпаний, автодилеров и СМИ | 14.65 | Понедельник, 24 июня 2019 |
От имени Роскомнадзора рассылают фальшивые письма о проведении проверок | 14.49 | Вторник, 21 февраля 2017 |
Хакеры атакуют ЦБ России | 14.23 | Четверг, 20 августа 2015 |
Хакеры атакуют постояльцев гостиниц Hyatt | 13.92 | Пятница, 25 декабря 2015 |
Как хакеры атакуют корпоративные сети: аналитика от Positive Technologies | 13.62 | Понедельник, 29 мая 2017 |
Eset: хакеры Turla атакуют пользователей Microsoft Outlook | 13.62 | Понедельник, 27 августа 2018 |
DDоS в каждый дом: как хакеры атакуют операторов и энергосбытовые компании в регионах | 13.48 | Вторник, 13 февраля 2024 |
Исследование «Лаборатории Касперского»: какие индустрии хакеры атакуют чаще других | 13.34 | Вторник, 27 марта 2018 |