Атаки Cobalt возвращаются в банки

Прошедшая 18 мая атака на российские банки, скорее всего, была совершена группировкой Cobalt, установили эксперты. Это значит, что, несмотря на задержание главаря хакеров, главная угроза кредитных организаций вновь вернулась в банки.

В минувшую пятницу российские банки подверглись массовой атаке — рассылке фишинговых писем, содержащих вредонос. В тот же день, 18 мая, они получили предупреждение от ФинЦЕРТ (подразделение ЦБ по кибербезопасности) об опасной рассылке. Проанализировав фишинговую рассылку, эксперты выявили, что данная атака с большой долей вероятности принадлежит группировке Cobalt, которая считалась грозой российских банков весь 2017 год и, как полагали многие специалисты, прекратила свое существование после задержания ее лидеров.

По данным Банка России, в 2017 году группировка совершила 240 попыток атак на кредитные организации, из которых успешными были 11. Общая сумма хищений составила 1,15 млрд руб.

В конце марта лидер группировки был задержан, после чего рассылки Cobalt прекратились. На тот момент эксперты прогнозировали минимум полгода спокойной жизни для банков, полагая, что очень нескоро оставшиеся на свободе члены группировки смогут объединиться и продолжить атаки. Но данный прогноз был слишком оптимистичен.

Как следует из сегодняшнего отчета Positive Technologies (есть у “Ъ”), прошедшая атака имеет ряд признаков, которые указывают на принадлежность атаки группировке Cobalt. По словам руководителя Центра экспертной оценки безопасности Positive Technologies Алексея Новикова, атакующая сейчас группировка имеет техники и тактики, схожие с нашумевшей группировкой Cobalt, или имеет в своем составе людей, так или иначе с ней связанных. Согласно отчету, использованный в данной рассылке домен был идентичен тем, что задействовала Cobalt. Кроме того, сильное сходство обнаружено в структуре вредоноса.

Собеседник “Ъ” в правоохранительных органах отметил, что есть и определенные различия. «Признаком работы группировки Cobalt было использование определенных компонентов, позволяющих производить управление атакованным компьютером,­— отмечает собеседник “Ъ”.—

Новый вирус их (отличительные компоненты.— “Ъ”) не использовал, в итоге атакованные банки быстро вычислили вредонос, хищений средств не было».

Эксперты сошлись во мнении, что реакция банков на новую угрозу в первую очередь должна касаться работы с персоналом — сотрудникам нужно напоминать о недопустимости открытия сомнительных писем. По словам Алексея Новикова, по статистике, 27% сотрудников компаний при получении письма с фишинговой ссылкой переходят по ней, специалисты информбезопасности делают это в 3% случаев.