Group-IB зафиксировала очередную атаку хакеров группы Сobalt

МОСКВА, 27 мар — РИА Новости. Компания Group-IB, занимающаяся предотвращением и расследованием киберпреступлений, зафиксировала очередную кибератаку с использованием вирусов-вымогателей со стороны известной группировки Cobalt, говорится в сообщении компании.

Группа Cobalt проводила фишинговую рассылку от имени компании SpamHaus, которая борется со спамом и фишингом. В письме, отправленном с адреса j.stivens@spamhuas.com (реальный домен "Spamhaus" — spamhaus.org), утверждается, что IP-адреса компании-получателя были заблокированы из-за подозрений в рассылке спама. Авторы письма предлагали жертве перейти по ссылке: она вела на загрузку документа Microsoft Office с вредоносным вложением.

"Утром 26 марта (ориентировочно в 11.00 мск) центр реагирования на киберинциденты (CERT) Group-IB зафиксировал фишинговую рассылку Cobalt от имени SpamHaus, известной некоммерческой организации, которая борется со спамом и фишингом… Изучив структуру атаки, специалисты отдела анализа вредоносного кода подтвердили, что за рассылкой стоит именно Cobalt", — говорится в сообщении.

В конце марта Европол сообщил о задержании в Испании лидера Cobalt, а на Украине — еще одного участника группы, занимавшегося разработкой вредоносного программного обеспечения.

"Мы не исключаем, что оставшиеся на свободе члены Cobalt некоторое время будут продолжать атаки, в том числе чтобы показать, что их задержанные подельники не причастны к этой группе. Однако, учитывая арест лидера группы, такие атаки вскоре сойдут на нет. Вероятнее всего, члены Cobalt примкнут к действующим группам или в результате очередного "передела" появится новая киберкриминальная структура, атакующая банки в разных странах. В любом случае не стоит списывать со счетов наследие Cobalt — и с точки зрения ресурсов, и с точки зрения инструментария", — приводятся в сообщении слова руководителя департамента Threat Intelligence и CTO Group-IB Дмитрия Волкова.

Группа Cobalt стала известна в 2016 году, с ней связывают атаки на ряд банков СНГ и Восточной Европы. Атаки Cobalt начинаются с целевой рассылки фишинговых писем сотрудникам банка. Вредоносное вложение в письме при его открытии распространяется внутри сети банка, в частности, хакеры получают контроль над системами управления банкоматами. В конце 2017 года впервые в истории финансовой системы России они совершили успешную атаку на банк с использованием системы межбанковских переводов (SWIFT). По данным Group-IB, средняя сумма хищений в результате одного инцидента — примерно 100 миллионов рублей.