Group-IB: несмотря на арест лидера, группа Сobalt продолжает атаки на банки

Group-IB сообщила о том, что атаки Cobalt продолжаются. Задержание лидера хакерской группы Сobalt в испанском городе Аликанте пока не привело к прекращению атак на банки. Утром 26 марта (ориентировочно в 11:00 по Москве) Центр реагирования на киберинциденты (CERT) Group-IB зафиксировал фишинговую рассылку Cobalt от имени SpamHaus, известной некоммерческой организации, которая борется со спамом и фишингом. В письме, отправленном с адреса Адрес электронной почты защищен от спам-ботов. Для просмотра адреса в вашем браузере должен быть включен Javascript. (реальный домен «Spamhaus» — spamhaus.org), утверждается, что IP-адреса компании-получателя были заблокированы из-за подозрений в рассылке спама. Для того, чтобы «решить» проблему авторы письма предлагали жертве перейти по ссылке: она вела на загрузку документа Microsoft Office с вредоносным вложением. Изучив структуру атаки, специалисты отдела анализа вредоносного кода подтвердили, что за рассылкой стоит именно Cobalt. Cobalt — одна из самых активных преступных групп, совершающая целенаправленные атаки на банки. По данным Европола, группировка похитила около 1 млрд евро у 100 банков в 40 странах мира. 26 марта Европол сообщил о масштабной операции, проведенной испанской национальной полицией при поддержке Европола, ФБР, правоохранительных органов Румынии, Тайваня и Республики Беларусь. В результате в Испании был задержан лидер Cobalt, на Украине — участник группы, занимавшийся разработкой вредоносного программного обеспечения. «Мы не исключаем, что оставшиеся на свободе члены Cobalt некоторое время будут продолжать атаки, в том числе, чтобы показать, что их задержанные подельники не причастны к этой группе, — отметил руководитель департамента Threat Intelligence и CTO Group-IB Дмитрий Волков. — Однако, учитывая арест лидера группы, такие атаки вскоре сойдут на нет. Вероятнее всего члены Cobalt примкнут к действующим группам или, в результате, очередного «передела» появится новая киберкриминальная структура, атакующая банки в разных странах. В любом случае, не стоит списывать со счетов наследие Cobalt – и с точки зрения ресурсов, и с точки зрения инструментария». Начиная с 2016 года Cobalt успешно атаковала банки в России, Великобритании, Нидерландах, Испании, Румынии, Белоруссии, Польши, Эстонии, Болгарии, Грузии, Молдавии, Киргизии, Армении, Тайване и Малайзии и других странах. Криминалисты Group-IB одними из первых исследовали нападения Cobalt на российские и зарубежные банки и в ноябре 2016 года выпустили публичный отчет о её деятельности группы, содержащий технические индикаторы, позволяющие идентифицировать группу. Первоначально хакеры специализировались на бесконтактных (логических) атаках на банкоматы. Кроме систем управления банкоматами, киберпреступники каждый раз старались получить доступ к платежным шлюзам и карточному процессингу. В конце 2017 года впервые в истории финансовой системы России они совершили успешную атаку на банк с использованием системы межбанковских переводов (SWIFT). Банк России называет преступную группу Cobalt главной угрозой для российских банков — все прошедшие 11 успешных атак на российские банки с хищением более 1 млрд руб. приписывают именно ей. Долгое время «секрет успеха» Cobalt состоял в том, что хакеры группы постоянно тестировали новые инструменты и схемы, часто меняли локацию проведения атак и хорошо знали, как работают банки. После заражения компьютеров сотрудников того или иного банка Cobalt ждет от двух до четырех недель для того, чтобы изучить внутреннюю инфраструктуру организации, наблюдает за рабочим процессом, и только после этого проводит атаку. То есть атака готовится в течение длительного времени, что позволяет им выводить большие суммы денег. В последнее время целью атак этой группы становились не только банки, но и разработчики ПО, СМИ, а также страховые компании. С получением доступа к инфраструктуре таких агентов последующие атаки непосредственно на финансовые учреждения выполняются от имени и с серверов зараженных подрядчиков, что значительно увеличивало вероятность успешного заражения. Для заражения хакеры Cobalt использовали грамотно составленные фишинговые письма, в которых содержались либо сами эксплоиты, либо ссылки на вредоносные программы. После того, как сотрудник банка открывал вредоносное вложение, происходило заражение компьютера и дальнейшее распространение вируса в сети. В среднем промежуток от проникновения до вывода денег составляет три-четыре недели, средняя сумма хищения - 100 млн руб. Ссылка на источник