Хакеры Cobalt вновь атаковали банки
ФОТОГРАФ

Газета.ру

ИCТОЧНИК

vestifinance.ru

31.05.2018 • 17:14 1053

Хакеры Cobalt вновь атаковали банки

Международная компания Group-IB обнародовала новый отчет, раскрывающий преступления хакерской группы

Group-IB, международная компания, специализирующаяся на предотвращении кибератак и разработке продуктов для информационной безопасности, обнародовала новый отчет, раскрывающий преступления хакерской группы Cobalt в отношении банков и других организаций во всем мире. Последние на данный момент целевые атаки группы были проведены 23 и 28 мая. Их целями стали банки в России, странах СНГ и, предположительно, зарубежные финансовые организации. Фишинговые письма, используемые Cobalt 23 мая, рассылались от имени крупного антивирусного вендора, пишет vestifinance.ru.

По данным Европола, хакеры Cobalt похитили свыше 1 млрд евро. Согласно исследованию Group-IB только в одном из инцидентов в европейском банке Cobalt попытались вывести 25 млн евро. В новом отчете эксперты Threat Intelligence Group-IB приводят доказательства связи Cobalt и группы Anunak (Carbanak). Предположительно, в новой майской атаке группы также действовали вместе.

23 мая эксперты Threat Intelligence зафиксировали новую масштабную кибератаку хакерской группы Cobalt на ведущие банки России и СНГ. Несмотря на арест лидера группы в Испании, о чем стало известно 26 марта этого года, оставшиеся члены группы вновь проверили на прочность защиту финансовых учреждений. Примечательно, что последние атаки в России были 5 месяцев назад, в декабре 2017 года.

Первая волна фишинговой рассылки была 23 мая. Впервые в практике Cobalt фишинговые письма были отправлены от имени крупного антивирусного вендора. Пользователь получил «жалобу» на английском языке о том, что с его компьютера якобы зафиксирована активность, нарушающая существующее законодательство. Получателю предлагалось ознакомиться со вложенным письмом и предоставить детальные объяснения. Если ответ не поступит в течение 48 часов, «антивирусная компания» угрожала наложить санкции на web-ресурсы получателя. Для того чтобы скачать письмо, необходимо было перейти по ссылке, что привело бы к заражению компьютера сотрудника банка.

В атаке была задействована уникальная троянская программа Coblnt, использовавшаяся группой с декабря 2017 года. Почтовая рассылка шла с домена kaspersky-corporate.com, который показал прямую связь с лицом, на которое были ранее зарегистрированы домены для атак Cobalt.

28 мая зафиксирована свежая вредоносная рассылка Cobalt. Письмо от имени Европейского центрального банка с ящика v. constancio@ecb-europa[.]info было разослано по банкам. В письме содержится ссылка на документ 67 972 318.doc, якобы описывающий финансовые риски. В результате открытия эксплоита произойдет заражение и первичное «закрепление» вредоносной программы в системе банка с помощью уникального загрузчика JS-backdoor, уникальной разработки Cobalt.

В Group-IB не исключают, что жертвами этих кибератак могли быть не только банки России и СНГ: оба письма составлены на английском языке, что говорит о возможных целях в иностранных банках. Снова качество фишинговых писем оценивается экспертами компании как высокое. Например, в атаке 23 мая текст на английском языке стилизован под «юридическую жалобу», а поддельный сайт kaspersky-corporate.com также отличался более высоким уровнем качества, что нехарактерно для Cobalt. Эти и другие признаки вновь указывали на вероятность проведения оставшимися на свободе членами группа Cobalt совместной операции с другими преступными группами, в частности Anunak. Детальная информация с техническими индикаторами «работы» групп приводится в отчете «Cobalt: эволюция и совместные операции».

«Cobalt по-прежнему активен: участники группы не прекращают атаковать финансовые и другие организации во всем мире, — комментирует Дмитрий Волков, CTO Group-IB. — Мы убеждены в том, что коллаборация Cobalt и Anunak, позволившая установить своего рода антирекорды этим группам в части реализации наиболее сложных атак, завершившихся выводом сотен миллионов долларов, еще не исчерпала себя. Для того чтобы дать возможность бизнесу и регуляторам рынка принять превентивные меры против действий этих преступников, мы публикуем технические индикаторы для защиты от фишинга, для идентификации инфраструктуры и методов, до сих пор используемых этими преступниками».

Узнавайте больше об интересных событиях в Казахстане и за рубежом.
Подписывайтесь на нас в Яндекс Дзен

Заметили опечатку? Выделите ее мышью и нажмите сочетание клавиш Ctrl+Enter.

хакерская атака фишинговая рассылка Cobalt

31.05.2018 • 17:14 1053

Поделиться
Loading...
Хакеры Cobalt вновь атаковали банки
  • Центр деловой информации Kapital.kz — информационное агентство, информирующее о событиях в экономике, бизнесе и финансах в Казахстане и за рубежом. При работе с материалами Центра деловой информации Kapital.kz разрешено использование лишь 30% текста с обязательной гиперссылкой на источник. При использовании полного материала необходимо разрешение редакции. Редакция Kapital.kz не всегда разделяет мнения авторов статей. При нарушении условий размещения материалов редакция делового портала имеет право на решение спорных моментов в законодательном порядке.

  • Яндекс.Метрика
    Система Orphus