Компания в сфере расследования и предотвращения киберпреступлений Group-IB сообщила о новых массовых атаках хакеров группировки Cobalt. Целями преступников стали, в том числе, ведущие банки России и СНГ, а также зарубежные финансовые организации. Об этом во вторник сообщил ТАСС.

Атаки произошли 23 и 28 мая с помощью рассылок фишинговых писем. В Group-IB не уточнили, о каких именно банках идет речь — однако отметили, что в базе рассылки, которую регулярно использует Cobalt, есть как минимум 86 различных организаций по всему миру. В этот список входят банки, страховые компании, СМИ, лизинговые компании, строительные компании, интернет-провайдеры, юридические конторы, интеграторы в СНГ, США, Европе, Азии — фактически, по всему земному шару. Из этого списка злоумышленники формируют «подписки» в зависимости от целей атаки, примерно половина базы приходится на Россию. При этом по факту список атакуемых организаций может быть шире.

«Финцерт» Банка России своевременно информировал кредитные организации о данных фишинговых рассылках.

Первая волна

Первая волна фишинговой рассылки Cobalt была зафиксирована 23 мая в 13:21 по мск (спустя почти пять месяцев перерыва в атаках этой группы в России — последние атаки Cobalt в РФ были совершены в декабре 2017 г.). «Впервые в практике Cobalt фишинговые письма были отправлены от имени крупного антивирусного вендора», — рассказали в Group-IB, уточнив, что почтовая рассылка шла с домена kaspersky-corporate.com. Этот домен зарегистрирован не на «Лабораторию Касперского»: как отмечают в Group-IB, этот домен «показал прямую связь с лицом, на которое были ранее зарегистрированы домены для атак Cobalt».

По данным Group-IB, хакеры рассылали пользователям с этого домена «жалобы» на английском языке якобы об обнаружении активности, нарушающей существующее законодательство. «Получателю предлагалось ознакомиться со вложенным письмом и предоставить детальные объяснения. Если ответ не поступит в течение 48 часов, «антивирусная компания» угрожала наложить санкции на web-ресурсы получателя», — пояснили эксперты. Чтобы скачать это письмо, пользователю нужно было перейти по ссылке, а это привело бы к заражению компьютера сотрудника банка.

В «Лаборатории Касперского» подтвердили, что на прошлой неделе действительно была зафиксирована фишинговая рассылка, маскирующаяся под уведомления для пользователей. «На данный момент домены, с которых распространялась рассылка, заблокированы, вредоносное программное обеспечение изначально детектировалось и блокировалось защитными решениями «Лаборатории Касперского», пояснили в компании. При этом в «Лаборатории Касперского» отметили, что упоминание известного бренда в подобных случаях — очень распространенная практика. «Часто фальшивые письма и фальшивые сайты во всем повторяют дизайн настоящих, чтобы ввести в заблуждение невнимательных пользователей: могут маскироваться имена файлов, сервера управления и др.», — добавили в компании.

Вторая волна

Вторая масштабная вредоносная рассылка Cobalt была зафиксирована спустя пять дней — 28 мая около 13:00 по мск, отметили в Group-IB. На этот раз злоумышленники старались замаскироваться под Центральный европейский банк.

По мнению Group-IB, жертвами этих кибератак могли стать не только банки России и СНГ, поскольку оба письма составлены на английском языке. Эксперты оценили качество фишинговых писем как высокое. «Например, в атаке 23 мая текст на английском языке стилизован под «юридическую жалобу», а поддельный сайт kaspersky-corporate.com также отличался более высоким уровнем качества, что нехарактерно для Cobalt. Эти и другие признаки вновь указывали на вероятность проведения членами группы Cobalt совместной операции с другими преступными группами, в частности, Anunak», — отмечается в сообщении.

«Мы убеждены в том, что коллаборация Cobalt и Anunak, позволившая установить своего рода антирекорды этим группам в части реализации наиболее сложных атак, завершившихся выводом сотен миллионов долларов, еще не исчерпала себя. Для того чтобы дать возможность бизнесу и регуляторам рынка принять превентивные меры против действий этих преступников, мы публикуем технические индикаторы для защиты от фишинга, для идентификации инфраструктуры и методов, до сих пор используемых этими преступниками», — пояснил CTO Group-IB Дмитрий Волков.

Группировка Cobalt — одна из самых агрессивных русскоговорящих хакерских групп в мире, действующая с 2013 года. Согласно данным Европола, за все время работы Cobalt похитила свыше €1 млрд. При этом только в одном из инцидентов в европейском банке злоумышленники попытались вывести €25 млн, отмечается в исследовании Group-IB. Жертвами группировки Cobalt стали финансовые структуры более чем в 40 странах, среди которых — Россия, Великобритания, Нидерланды, Испания и др. Лидер Cobalt был арестован в Испании в марте этого года, однако несмотря на это группа сохранила свою активность, отмечали в Group-IB.

Одной из самых ярких особенностей Cobalt стали хищения с использованием системы межбанковских переводов SWIFT. Первое такое хищение хакеры совершили весной 2016 г. в банке Гонконга, затем на Украине. Они также организовали первую атаку через SWIFT в истории отечественной банковской индустрии — она произошла в декабре 2017 года в российском банке.

По данным Центробанка, в 2017 г. группировка Cobalt совершила 240 попыток атак на кредитные организации, из которых успешными были 11. Общая сумма хищений составила 1,15 млрд руб.

В конце марта был задержан лидер хакерской группировки, после чего рассылки Cobalt на какое-то время прекратились.