Хакерская группировка Cobalt, предположительно имеющая российские корни, летом 2016 года заставившая банкоматы на Тайване и в Таиланде выбрасывать деньги, в первой половине 2017 года атаковала более 250 организаций по всему миру, рассылая письма от имени Visa и MasterCard, пишет РБК.
Согласно отчету специализирующейся в области информационной безопасности компании Positive Technologies (есть у РБК), в первой половине 2017 года Cobalt разослала фишинговые письма, содержащие в себе зараженные файлы, более чем 3 тыс. получателей из 250 компаний в 12 странах мира.
К списку традиционных для Cobalt целей, находящихся в СНГ, странах Восточной Европы и Юго-Восточной Азии, добавились компании, расположенные в Северной Америке, Западной Европе и Южной Америке, в частности в Аргентине. В сфере интересов группировки теперь не только банки, но и биржи, страховые компании, инвестфонды и другие организации.
Как утверждают эксперты, методы хакеров эволюционируют. Теперь, прежде чем атаковать банки, Cobalt предварительно взламывает инфраструктуру их партнеров — четверть всех атак приходится на госорганизации, промышленные компании, телекоммуникационные операторы и предприятия из сферы медицины.
«Атаки на нефинансовые организации осуществляются с целью подготовки плацдарма для последующих атак на банки. К примеру, злоумышленники могут рассылать фишинговые письма от лица регулятора или партнера банка, для которого он предоставляет услуги», — пояснил РБК заместитель директора центра компетенции по экспертным сервисам Positive Technologies Алексей Новиков. Он отмечает, что кредитно-финансовые организации гораздо лучше защищены от киберугроз, чем государственные органы и компании промышленного сектора. «Они постоянно совершенствуют свои защитные механизмы по причине частых атак на их инфраструктуру, поэтому злоумышленникам проще взломать инфраструктуру контрагента банка или государственной организации для осуществления непосредственной атаки на банк», — говорит Новиков.
Атаки на кредитно-финансовую сферу, на которые приходится 75% всех усилий хакеров из этой команды, стали более изощренными. Группировка массово отправляет фишинговые письма с поддельных доменов, имитирующие сообщения от Visa, MasterCard, центра реагирования на кибератаки в финансовой сфере Центрального банка России (FinCERT) и Национального банка Республики Казахстан, рассказали в Positive Technologies. Для этих целей Cobalt использовала как минимум 22 поддельных домена, имитирующих сайты крупных финансовых организаций и их контрагентов.
Типовая атака Cobalt состоит из нескольких этапов, рассказывает представитель Positive Technologies. Сначала регистрируются поддельные домены, якобы принадлежащие крупным компаниям, например Visa. Затем в адрес банков и их контрагентов проводится фишинговая рассылка, содержащая вредоносный файл, обычно документ Microsoft Word. После открытия этого вложения пользователем запускается программа, которая не дает системам антивирусной защиты среагировать на вирус. После чего загружается собственно троян, который позволяет организовать удаленный доступ к рабочему компьютеру сотрудника компании-жертвы. Далее злоумышленники могут либо развивать атаку внутри организации, либо отправить со взломанного рабочего стола письмо с аналогичным вредоносным софтом в другую организацию.
Ущерб российских банков от действий хакеров за 2016 год составил чуть более 2 млрд руб. (около $30 млн). Средний ущерб от кибератаки в этот период в мире в среднем составлял $926 тыс. на одну финансовую организацию, говорится в отчете «Лаборатории Касперского». В то же время средний годовой объем расходов одного банка на обеспечение кибербезопасности, по данным компании, сейчас достигает в мире $58 млн, что в три раза больше, чем у нефинансовых организаций.
