Полиция Испании задержала лидера хакерской группировки Cobalt, похитившей более 1 млрд евро примерно у 100 финансовых организаций по всему миру, пишет РБК со ссылкой на сообщение Европола. Помимо предполагаемого главаря на Украине взят под стражу еще один участник группировки, сотрудничавший с ней как программист — о его задержании в Киеве сообщило украинское издание «Факты».

Главный подозреваемый был задержан в испанском городе Аликанте. Его личность не раскрывается — однако, по словам представителя Европола, он из «русскоязычного мира».

Bloomberg со ссылкой на МВД Испании сообщил, что это Денис К., украинец по национальности. По информации представителя российской компании Group-IB, специализирующейся в сфере кибербезопасности, лидер Cobalt — находившийся в Испании с 2014 г. гражданин России (его имя и фамилия также не сообщаются).

По словам ведущего антивирусного эксперта «Лаборатории Касперского» Сергея Голованова, артефакты, оставленные во вредоносных файлах и на компьютерах жертв Cobalt (группировка действовала с помощью вредоносных программ Carbanak, Cobalt Strike и др.), свидетельствуют, что создатели кода владеют русским языком. А для атак в той или иной стране они брали в команду человека, говорящего на местном языке — тайском, китайском, чешском, испанском и т. д.

Голованов пояснил также, что личность арестованного обычно раскрывается в ходе судебных заседаний, если они будут открытыми. Наказание будет зависеть от юрисдикции, где будет рассматриваться дело. На данный момент в отчете Европола упоминается в этом качестве несколько стран, включая США и Испанию.

Cobalt начала свою деятельность в 2013 г., когда атаковала банкоматы и другую финансовую инфраструктуру с помощью вредоносного программного обеспечения. У всех атак было несколько общих черт. Хакеры рассылали сотрудникам финансовых организаций фишинговые письма с вредоносными вложениями. Если сотрудник скачивал программу, преступники получали удаленный контроль не только над его компьютером, но и над всей внутренней сетью организации. После этого они отправляли команды определенным банкоматам, чтобы те начинали выдавать наличность в момент, когда рядом с ними будут члены группировки. Только за одну операцию хакеры могли украсть до 10 млн евро.

В первой половине 2016 г. Cobalt разослала фишинговые письма с зараженными файлами в 250 компаний из 12 стран. В сфере интересов группировки были не только банки, но и биржи, страховые компании, инвестфонды и другие организации.

В декабре 2017 г. с помощью софта Cobalt Strike в России была совершена первая атака на систему передачи финансовой информации SWIFT. Ее жертвой оказался банк «Глобэкс», подконтрольный Внешэкономбанку. Хакеры вывели сумму, эквивалентную 1 млн долларов.

В феврале 2018 г. зампред Банка России Дмитрий Скобелкин заявил, что из-за атак с помощью программы Cobalt Strike российские банки потеряли свыше 1,1 млрд рублей за прошлый год.

По мнению технического директора Group-IB Дмитрия Волкова, несмотря на задержание лидера, оставшиеся на свободе члены Cobalt могут создать новую преступную группу или присоединятся к другим. Среди хакерских групп, представляющих наибольшую угрозу для банковского сектора, Волков назвал MoneyTaker, Silence и Lazarus. Согласно статистическим данным от Kaspersky Security Network, Cobalt организовала самую распределенную и массовую волну атак на финансовые институты в мире. На втором месте Lazarus, получившая известность после ограбления центрального банка Бангладеш.