USD
523.86₸
EUR
544.34₸
RUB
5.11₸
BRENT
73.23$
+0.190
BTC
94308.60$
-1052.600

Хакеры Cobalt вновь атаковали банки

Международная компания Group-IB обнародовала новый отчет, раскрывающий преступления хакерской группы

Share
Share
Share
Tweet
Share
Хакеры Cobalt вновь атаковали банки- Kapital.kz

Group-IB, международная компания, специализирующаяся на предотвращении кибератак и разработке продуктов для информационной безопасности, обнародовала новый отчет, раскрывающий преступления хакерской группы Cobalt в отношении банков и других организаций во всем мире. Последние на данный момент целевые атаки группы были проведены 23 и 28 мая. Их целями стали банки в России, странах СНГ и, предположительно, зарубежные финансовые организации. Фишинговые письма, используемые Cobalt 23 мая, рассылались от имени крупного антивирусного вендора, пишет vestifinance.ru.

По данным Европола, хакеры Cobalt похитили свыше 1 млрд евро. Согласно исследованию Group-IB только в одном из инцидентов в европейском банке Cobalt попытались вывести 25 млн евро. В новом отчете эксперты Threat Intelligence Group-IB приводят доказательства связи Cobalt и группы Anunak (Carbanak). Предположительно, в новой майской атаке группы также действовали вместе.

23 мая эксперты Threat Intelligence зафиксировали новую масштабную кибератаку хакерской группы Cobalt на ведущие банки России и СНГ. Несмотря на арест лидера группы в Испании, о чем стало известно 26 марта этого года, оставшиеся члены группы вновь проверили на прочность защиту финансовых учреждений. Примечательно, что последние атаки в России были 5 месяцев назад, в декабре 2017 года.

Первая волна фишинговой рассылки была 23 мая. Впервые в практике Cobalt фишинговые письма были отправлены от имени крупного антивирусного вендора. Пользователь получил «жалобу» на английском языке о том, что с его компьютера якобы зафиксирована активность, нарушающая существующее законодательство. Получателю предлагалось ознакомиться со вложенным письмом и предоставить детальные объяснения. Если ответ не поступит в течение 48 часов, «антивирусная компания» угрожала наложить санкции на web-ресурсы получателя. Для того чтобы скачать письмо, необходимо было перейти по ссылке, что привело бы к заражению компьютера сотрудника банка.

В атаке была задействована уникальная троянская программа Coblnt, использовавшаяся группой с декабря 2017 года. Почтовая рассылка шла с домена kaspersky-corporate.com, который показал прямую связь с лицом, на которое были ранее зарегистрированы домены для атак Cobalt.

28 мая зафиксирована свежая вредоносная рассылка Cobalt. Письмо от имени Европейского центрального банка с ящика v. constancio@ecb-europa[.]info было разослано по банкам. В письме содержится ссылка на документ 67 972 318.doc, якобы описывающий финансовые риски. В результате открытия эксплоита произойдет заражение и первичное «закрепление» вредоносной программы в системе банка с помощью уникального загрузчика JS-backdoor, уникальной разработки Cobalt.

В Group-IB не исключают, что жертвами этих кибератак могли быть не только банки России и СНГ: оба письма составлены на английском языке, что говорит о возможных целях в иностранных банках. Снова качество фишинговых писем оценивается экспертами компании как высокое. Например, в атаке 23 мая текст на английском языке стилизован под «юридическую жалобу», а поддельный сайт kaspersky-corporate.com также отличался более высоким уровнем качества, что нехарактерно для Cobalt. Эти и другие признаки вновь указывали на вероятность проведения оставшимися на свободе членами группа Cobalt совместной операции с другими преступными группами, в частности Anunak. Детальная информация с техническими индикаторами «работы» групп приводится в отчете «Cobalt: эволюция и совместные операции».

«Cobalt по-прежнему активен: участники группы не прекращают атаковать финансовые и другие организации во всем мире, — комментирует Дмитрий Волков, CTO Group-IB. — Мы убеждены в том, что коллаборация Cobalt и Anunak, позволившая установить своего рода антирекорды этим группам в части реализации наиболее сложных атак, завершившихся выводом сотен миллионов долларов, еще не исчерпала себя. Для того чтобы дать возможность бизнесу и регуляторам рынка принять превентивные меры против действий этих преступников, мы публикуем технические индикаторы для защиты от фишинга, для идентификации инфраструктуры и методов, до сих пор используемых этими преступниками».

При работе с материалами Центра деловой информации Kapital.kz разрешено использование лишь 30% текста с обязательной гиперссылкой на источник. При использовании полного материала необходимо разрешение редакции.

Вам может быть интересно

Читайте Kapital.kz в Kapital Telegram Kapital Instagram Kapital Facebook
Вверх
Комментарии
Выйти
Отправить
Авторизуйтесь, чтобы отправить комментарий
Новый пользователь? Регистрация
Вам необходимо пройти регистрацию, чтобы отправить комментарий
Уже есть аккаунт? Вход
По телефону По эл. почте
Пароль должен содержать не менее 6 символов. Допустимо использование латинских букв и цифр.
Введите код доступа из SMS-сообщения
Мы отправили вам код доступа. Если по каким-то причинам вы не получили SMS, вы можете отправить его еще раз.
Отправить код повторно ( 59 секунд )
Спасибо, что авторизовались
Теперь вы можете оставлять комментарии.
Вы зарегистрированы
Теперь вы можете оставлять комментарии к материалам портала
Сменить пароль
Введите номер своего сотового телефона/email для смены пароля
По телефону По эл. почте
Введите код доступа из SMS-сообщения/Email'а
Мы отправили вам код доступа. Если по каким-то причинам вы не получили SMS/Email, вы можете отправить его еще раз.
Пароль должен содержать не менее 6 символов. Допустимо использование латинских букв и цифр.
Отправить код повторно ( 59 секунд )
Пароль успешно изменен
Теперь вы можете авторизоваться
Пожаловаться
Выберите причину обращения
Спасибо за обращение!
Мы приняли вашу заявку, в ближайшее время рассмотрим его и примем меры.