Group-IB: несмотря на арест лидера, группа Сobalt продолжает атаки на банки

Group-IB, международная компания, специализирующаяся на предотвращении кибератак и разработке продуктов для информационной безопасности, сообщила о том, что атаки Cobalt продолжаются.

Задержание лидера хакерской группы Сobalt в испанском городе Аликанте пока не привело к прекращению атак на банки. Утром 26 марта (ориентировочно в 11:00 по Москве) Центр реагирования на киберинциденты (CERT) Group-IB зафиксировал  фишинговую рассылку Cobalt от имени SpamHaus, известной некоммерческой организации, которая борется со спамом и фишингом. В письме, отправленном с  адреса j.stivens@spamhuas.com (реальный домен «Spamhaus» — spamhaus.org), утверждается, что IP-адреса компании-получателя были заблокированы из-за подозрений в рассылке спама. Для того, чтобы «решить» проблему авторы письма предлагали жертве – сотруднику банка – перейти по ссылке: она вела на загрузку документа Microsoft Office с вредоносным вложением. Изучив структуру атаки, специалисты отдела анализа вредоносного кода подтвердили, что за рассылкой стоит именно Cobalt.

Cobalt — одна из самых активных преступных групп, совершающая целенаправленные атаки на банки. По данным Европола, группировка похитила около 1 млрд евро у 100 банков в 40 странах мира. 26 марта Европол сообщил о масштабной операции, проведенной испанской национальной полицией при поддержке Европола, ФБР, правоохранительных органов Румынии, Тайваня и Республики Беларусь. В результате в Испании был задержан лидер Cobalt,  а на Украине — еще участник группы, занимавшийся разработкой вредоносного программного обеспечения.

“Мы не исключаем, что оставшиеся на свободе члены Cobalt некоторое время будут продолжать атаки, в том числе, чтобы показать, что их задержанные подельники не причастны к этой группе, — заявил руководитель департамента Threat Intelligence и CTO Group-IB Дмитрий Волков. — Однако, учитывая арест лидера группы, такие атаки вскоре сойдут на нет. Вероятнее всего члены Cobalt примкнут к действующим группам или, в результате, очередного «передела» появится новая киберкриминальная структура, атакующая банки в разных странах. В любом случае, не стоит списывать со счетов наследиеCobalt – и с точки зрения ресурсов, и с точки зрения инструментария”.

Начиная с 2016 года Cobalt успешно атаковала банки в России, Великобритании, Нидерландах, Испании, Румынии, Белоруссии, Польши, Эстонии, Болгарии, Грузии, Молдавии, Киргизии, Армении, Тайване и Малайзии и других странах. Криминалисты Group-IB одними из первых исследовали нападения Cobalt на российские и зарубежные банки и в ноябре 2016 года выпустили публичный отчет о её деятельности группы, содержащий технические индикаторы, позволяющие идентифицировать группу.

Первоначально хакеры специализировались на бесконтактных (логических) атаках на банкоматы. Кроме систем управления банкоматами, киберпреступники каждый раз старались получить доступ к платежным шлюзам и карточному процессингу. В конце 2017 года впервые в истории финансовой системы России они совершили успешную атаку на банк с использованием системы межбанковских переводов (SWIFT). Банк России называет преступную группу Cobalt главной угрозой для российских банков — все прошедшие 11 успешных атак на российские банки с хищением более 1 млрд руб. приписывают именно ей.

Долгое время “секрет успеха” Cobalt состоял в том, что хакеры группы постоянно тестировали новые инструменты и схемы, часто меняли локацию проведения атак и хорошо знали, как работают банки. После заражения компьютеров сотрудников того или иного банка Cobalt ждет от двух до четырех недель для того, чтобы изучить внутреннюю инфраструктуру организации, наблюдает за рабочим процессом, и только после этого проводит атаку. То есть атака готовится в течение длительного времени, что позволяет им выводить большие суммы денег.

Стоит отметить, что в последнее время целью атак этой группы становились не только банки, но и разработчики ПО, СМИ, а также страховые компании. С получением доступа к инфраструктуре таких агентов последующие атаки непосредственно на финансовые учреждения выполняются от имени и с серверов зараженных подрядчиков, что значительно увеличивало вероятность успешного заражения.

Для заражения хакеры Cobalt использовали грамотно составленные фишинговые письма, в которых содержались либо сами эксплоиты, либо ссылки на вредоносные программы. После того, как сотрудник банка открывал вредоносное вложение, происходило заражение компьютера и дальнейшее распространение вируса в сети. В среднем промежуток от проникновения до вывода денег составляет три-четыре недели, средняя сумма хищения – 100 млн руб.

27 марта, 2018

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

17.07.2026
Минцифры — за «нулевые» SIM-карты
16.07.2026
ООН: Сложность задач, решаемых ИИ-моделями, удваивается каждые 4–7 месяцев
16.07.2026
«Яндекс» подтвердил безопасность всех ИИ-моделей семейства Alice AI
16.07.2026
Кто заплатит жертве скамеров, покажет проверка
16.07.2026
Сервисы VK удаляют из магазинов приложений для Android
16.07.2026
Инвестиции в ИКТ растут, несмотря на обратный тренд в экономике в целом
15.07.2026
Apple обвинила OpenAI в краже коммерческих секретов
15.07.2026
Подтверждена совместимость ПО АЛЬПА и комплекса InfoDiode
15.07.2026
VK, MAX и СОРМ-поставщики попали под евросанкции
15.07.2026
Данные о регистрации и авторизации — на полку

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных