Европол объявил об аресте в Испании лидера хакерской преступной группы Cobalt, похитившей около 1 млрд евро у 100 банков в 40 странах мира. Главу хакерской группы задержали в испанском городе Аликанте в результате масштабной операции, проведенной испанской национальной полицией при поддержке Европола, ФБР, правоохранительных органов Румынии, Тайваня и Республики Беларусь. Кроме того, киберполиция Украины сообщила о задержании одного из участников группы Cobalt— программиста.
Эта группа заявила о себе в начале 2016 года. За два последних года Cobalt успешно атаковала банки в России, Великобритании, Нидерландах, Испании, Румынии, Белоруссии, Польши, Эстонии, Болгарии, Грузии, Молдавии, Киргизии, Армении, Тайване и Малайзии и так далее. Криминалисты Group-IB одними из первых исследовали атаки Cobalt на российские и зарубежные банки.
Первоначально хакеры специализировались на бесконтактных (логических) атаках на банкоматы. Кроме систем управления банкоматами, киберпреступники каждый раз старались получить доступ к платежным шлюзам и карточному процессингу. В конце 2017 года впервые в истории финансовой системы России они совершили успешную атаку на банк с использованием системы межбанковских переводов (SWIFT). Банк России называет преступную группу Cobalt главной угрозой для российских банков — все прошедшие 11 успешных атак на российские банки с хищением более 1 млрд руб. приписывают именно ей.
Долгое время “секрет успеха” Cobalt состоял в том, что хакеры группы постоянно тестировали новые инструменты и схемы, часто меняли локацию проведения атак и хорошо знали, как работают банки. После заражения компьютеров сотрудников того или иного банка Cobalt ждет от двух до четырех недель для того, чтобы изучить внутреннюю инфраструктуру организации, наблюдает за рабочим процессом, и только после этого проводит атаку. То есть атака готовится в течение длительного времени, что позволяет им выводить большие суммы денег.
Стоит отметить, что в последнее время целью атак этой группы становятся не только банки, но и разработчики ПО, СМИ, а также страховые компании. С получением доступа к инфраструктуре таких агентов последующие атаки уже непосредственно на финансовые учреждения выполняются от имени и с серверов зараженных подрядчиков, что значительно увеличивает вероятность успешного заражения.
Для заражения хакеры Cobalt рассылают грамотно составленные фишинговые письма, в которых содержатся либо сами эксплоиты, либо ссылки на вредоносные программы. И после того, как сотрудник открывает вредоносное вложение, происходит заражение компьютера и дальнейшее распространение в сети. В среднем промежуток от проникновения до вывода денег составляет три-четыре недели, средняя сумма хищения - 100 млн руб.
