Джекпоттинг
Специалисты назвали атаку джекпоттингом – от слова джекпот. На видео об ограблениях демонстрировалась одна и та же картина: человек подходил к банкомату и выполнял определенные действия, после чего устройство выдавало всю наличность, загруженную в кассеты.
Первые случаи джекпоттинга были зафиксированы в Таиланде и на Тайване. Атаки также выполнялись на банкоматы в Армении, Беларуси, Болгарии, Эстонии, Грузии, Кыргызстана, Молдовы, Польши, Румынии, Испании, Великобритании и Малайзии. В России хакеры использовали этот метод взлома с 2013 года.
Производители проблему не решили
Атаке подверглись банкоматы двух производителей: Diebold Nixdorf и NCR Corp. Представители первой компании отмечают, что хакеры вышли на новый уровень – если раньше они компрометировали отдельные устройства, то теперь работают одновременно с множеством банкоматов. В NCR Corp. также подтвердили, что проблема есть, и заявили, что делают все возможное для вывода клиентов из-под удара.
Группировку назвали Cobalt из-за использования хакерского инструмента Cobalt Strike. Эксперты полагают, что хакеры связаны с группировкой Buhtrap – они применяют похожие методы, за исключением непосредственно джекпоттинга. Buhtrap, к слову, с августа 2015 года по январь 2016 года украли из российских банков 1,8 млрд рублей.