МОСКВА, 29 мая — ПРАЙМ. Компания по предотвращению и расследованию киберпреступлений Group-IB зафиксировала в мае две целевых штурмы известной хакерской группировки Cobalt (атакует банки), какая рассылала фишинговые письма якобы от имени «Лаборатории Касперского» и Европейского центрального банка.
По этим Group-IB, последние целевые атаки группы были прочерчены 23 и 28 мая. Их целями стали банки в России, краях СНГ и, предположительно, зарубежные финансовые организации. Так, 23 мая эксперты зафиксировали новоиспеченную масштабную кибератаку хакерской группы Cobalt на ведущие банки России и СНГ.
«Впервые в практике Cobalt фишинговые послания были отправлены от имени крупного антивирусного вендора. Почтовая рассылка шла с домена kaspersky-corporate.com, какой показал прямую связь с лицом, на которое были ранее зарегистрированы домены для штурмов Cobalt», — рассказали в Group-IB.
Хакеры отправили от имени «Лаборатории Касперского» «сетование» пользователю на английском языке о том, что с его компьютера якобы зафиксирована активность, нарушающая существующее законодательство. Получателю предлагалось ознакомиться со вложенным посланием и предоставить детальные объяснения. Если ответ не поступит в течение 48 часов, «антивирусная компания» угрожала наложить санкции на web-ресурсы получателя. Для того, чтобы скачать послание, необходимо было перейти по ссылке, что привело бы к заражению компьютера сотрудника банка.
Вторая вредоносная рассылка Cobalt была от имени Европейского центрального банка с ящика v.constancio@ecb-europa[.]info. В посланье содержалась ссылка на документ 67972318.doc, якобы описывающий финансовые риски.
В пресс-службе «Лаборатории Касперского» РИА Новинки подтвердили, что на прошлой неделе действительно была зафиксирована фишинговая рассылка, маскирующаяся под уведомления для пользователей.
«Упоминание популярного бренда в подобных случаях — очень распространенная практика. Нередко фальшивые письма и фальшивые сайты во всем повторяют дизайн натуральных, чтобы ввести в заблуждение невнимательных пользователей: могут маскироваться имена файлов, сервера управления и т.д. На этот момент домены, с которых распространялась рассылка, заблокированы, вредоносное программное обеспечение изначально детектировалось и блокировалось хаки решениями «Лаборатории Касперского», — отметили в компании.
Группа Cobalt сделалась известна в 2016 году, с ней связывают атаки на ряд банков СНГ и Восточной Европы. Штурмы Cobalt начинаются с целевой рассылки фишинговых писем сотрудникам банка. Вредоносное вложение в посланье при его открытии распространяется внутри сети банка, в частности, хакеры получают контроль над системами управления банкоматами. В крышке 2017 года впервые в истории финансовой системы России они свершили успешную атаку на банк с использованием системы межбанковских переводов (SWIFT). По этим Group-IB, средняя сумма хищений в результате одного инцидента — образцово 100 миллионов рублей.
В феврале 2018 года зампред ЦБ Дмитрий Скобелкин заявил, что хакеры в 2017 году прочертили 11 успешных атак на российские банки с помощью вируса Cobalt Strike, сумма хищений составила 1,156 биллиона рублей. По информации Банка России, атакам данного образа подверглись более 240 кредитных организаций. В марте сделалось известно об аресте лидера группы в Испании.
