Ущерб российских организаций кредитно-финансовой сферы в 2018 г. от кибератак хакерских групп Cobalt и Silence составил не менее 58,4 млн рублей. Такие данные приводятся в соответствующем обзоре, который опубликован на сайте Центробанка.

Ущерб российских организаций кредитно-финансовой сферы в 2018 г. от атак хакерской группы Cobalt составил не менее 44 млн рублей, а от атак, которые, как предполагается, были осуществлены группой Silence, — не менее 14,4 млн рублей.

В материалах ФинЦЕРТ отмечается, что сумма ущерба в прошлом году во много раз меньше, чем ущерб от таких же целевых атак в 2017 г.

Из 375 кампаний по распространению вредоносного программного обеспечения, зафиксированных ФинЦЕРТ (Центром мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере, это структурное подразделение департамента информационной безопасности ЦБ), 71 была нацелена конкретно на организации кредитно-финансовой сферы и их клиентов. В том числе на протяжении 2018 г. ФинЦЕРТ многократно фиксировал целевые атаки, приписываемые Cobalt (также известна как Carbanak и FIN7) и Silence.

Тактика работы Silence, Cobalt и подобных групп схожа: первоначальное проникновение идет через spear-phishing (целевой фишинг с использованием приемов социальной инженерии или какой-либо заранее известной атакующему информации о цели). Письма, рассылаемые сотрудникам организаций, часто направляются якобы от имени других финорганизаций или госорганов, вредоносное ПО обычно содержится во вложениях. В большинстве известных случаев для внедрения кода использовались уязвимости Microsoft Office, ранее уже устраненные в обновлениях, то есть, как подчеркивают в ЦБ, успех атакующих в том числе был обусловлен использованием на компьютерах организаций несвоевременно обновляемого ПО.

По данным компании Positive Technologies, которая участвовала в подготовке обзора ЦБ, группа Cobalt в 2018-м выполнила 61 рассылку по банкам в России и СНГ. В том числе уточняется, что «фишинговые рассылки в августе и начале сентября проводились с поддельных доменных адресов, якобы принадлежавших платежной системе Interkassa, а также банкам BBVA Compass Bancshares, Европейскому центральному банку, Unibank, Альфа-Банку, Райффайзенбанку. В течение IV квартала рассылка проводилась от лица взломанных банков — например, от имени UNIStream».

В 2017—2018 гг. наибольшее число успешных хищений происходило после атак, проведенных с мая по август. По мнению ЦБ, это может объясняться снижением бдительности сотрудников организаций в преддверии отпусков.

В ФинЦЕРТ также выявили не менее двух фактов успешного снятия в банкоматах российских банков крупных сумм, похищенных у иностранных банков группой Lazarus (Hidden Cobra, APT 38).