Компания Group-IB, занимающаяся предотвращением и расследованием киберпреступлений, зафиксировала очередную кибератаку с использованием вирусов-вымогателей со стороны известной группировки Cobalt, говорится в сообщении компании.
Группа Cobalt проводила фишинговую рассылку от имени компании SpamHaus, которая борется со спамом и фишингом. В письме, отправленном с адреса j.stivens@spamhuas.com (реальный домен «Spamhaus» — spamhaus.org), утверждается, что IP-адреса компании-получателя были заблокированы из-за подозрений в рассылке спама. Авторы письма предлагали жертве перейти по ссылке: она вела на загрузку документа Microsoft Office с вредоносным вложением.
«Утром 26 марта (ориентировочно в 11.00 мск) центр реагирования на киберинциденты (CERT) Group-IB зафиксировал фишинговую рассылку Cobalt от имени SpamHaus, известной некоммерческой организации, которая борется со спамом и фишингом... Изучив структуру атаки, специалисты отдела анализа вредоносного кода подтвердили, что за рассылкой стоит именно Cobalt», — говорится в сообщении.
В конце марта Европол сообщил о задержании в Испании лидера Cobalt, а на Украине — еще одного участника группы, занимавшегося разработкой вредоносного программного обеспечения.
«Мы не исключаем, что оставшиеся на свободе члены Cobalt некоторое время будут продолжать атаки, в том числе чтобы показать, что их задержанные подельники непричастны к этой группе. Однако, учитывая арест лидера группы, такие атаки вскоре сойдут на нет. Вероятнее всего, члены Cobalt примкнут к действующим группам или в результате очередного 'передела' появится новая киберкриминальная структура, атакующая банки в разных странах. В любом случае не стоит списывать со счетов наследие Cobalt — и с точки зрения ресурсов, и с точки зрения инструментария», — приводятся в сообщении слова руководителя департамента Threat Intelligence и CTO Group-IB Дмитрия Волкова.
Группа Cobalt стала известна в 2016 году, с ней связывают атаки на ряд банков СНГ и Восточной Европы. Атаки Cobalt начинаются с целевой рассылки фишинговых писем сотрудникам банка. Вредоносное вложение в письме при его открытии распространяется внутри сети банка, в частности, хакеры получают контроль над системами управления банкоматами. В конце 2017 года впервые в истории финансовой системы России они совершили успешную атаку на банк с использованием системы межбанковских переводов (SWIFT). По данным Group-IB, средняя сумма хищений в результате одного инцидента — примерно 100 миллионов рублей.
Читайте также: