Атаки группы Сobalt продолжаются

Как сообщила компания Group-IB, хакерская группа Cobalt, несмотря на арест ее лидера, продолжает атаки на банки. Как известно, 26 марта «Европол» сообщил об операции, проведенной испанской национальной полицией при поддержке «Европола», ФБР, правоохранительных органов Румынии, Тайваня и Республики Беларусь, в результате которой в Аликанте (Испания) был задержан лидер Cobalt, а на Украине – еще один участник группы, занимавшийся разработкой вредоносного ПО.

Тем не менее утром 26 марта Центр реагирования на киберинциденты (CERT) Group-IB зафиксировал фишинговую рассылку Cobalt от имени SpamHaus, известной некоммерческой организации, которая борется со спамом и фишингом. В письме, отправленном с адреса j.stivens@spamhuas.com (реальный домен Spamhaus – spamhaus.org), утверждается, что IP-адреса компании-получателя были заблокированы из-за подозрений в рассылке спама. Чтобы устранить проблему, жертве предлагалось перейти по ссылке, которая вела на загрузку документа Microsoft Office с вредоносным вложением. Изучив структуру атаки, специалисты отдела анализа вредоносного кода подтвердили, что за рассылкой стоит именно Cobalt.

Как считают в Group-IB, вполне возможно, что оставшиеся на свободе члены Cobalt некоторое время будут продолжать атаки, в том числе чтобы показать, что задержанные не причастны к этой группе. Однако, учитывая арест лидера группы, такие атаки вскоре должны сойти на нет. В любом случае не стоит списывать со счетов наследие Cobalt – и с точки зрения ресурсов, и с точки зрения инструментария, полагают эксперты.

Cobalt известна как одна из самых активных преступных группировок, совершающая целенаправленные атаки на банки. По данным «Европола», она похитила около 1 млрд евро у 100 банков в 40 странах мира.Начиная с 2016 г. Cobalt успешно атаковала банки в России, Великобритании, Нидерландах, Испании, Румынии, Белоруссии, Польши, Эстонии, Болгарии, Грузии, Молдавии, Киргизии, Армении, Тайване и Малайзии и других странах.

Первоначально хакеры специализировались на бесконтактных (логических) атаках на банкоматы. В конце 2017 г. впервые в истории финансовой системы России они совершили успешную атаку на банк с использованием системы SWIFT. Все 11 успешных атак на российские банки с хищением более 1 млрд руб. приписывают именно Cobalt. Успех группы эксперты объясняют тем, что хакеры Cobalt постоянно тестировали новые инструменты и схемы, часто меняли локацию проведения атак и хорошо знали, как работают банки, а атаки готовились в течение длительного времени, что позволяло выводить большие суммы денег. В последнее время целью атак группы становились не только банки, но и разработчики ПО, СМИ, а также страховые компании.

Для заражения хакеры Cobalt использовали грамотно составленные фишинговые письма, в которых содержались либо сами эксплоиты, либо ссылки на вредоносные программы. После того, как сотрудник банка открывал вредоносное вложение, происходило заражение компьютера и дальнейшее распространение вируса в сети.