Хакеры из российской группировки атаковали компании в 12 странах мира при помощи рассылки от имени Visa и MasterCard

Хакерская группировка Cobalt в первой половине 2017 года атаковала более 3 тысяч пользователей в 12 странах мира, рассылая фишинговые письма от имени Visa и MasterCard. Об этом говорится в отчете компании Positive Technologies, занимающейся информационной безопасностью. 

Отмечается, что письма хакеров с зараженными файлами получили пользователи в СНГ, Европе, Юго-Восточной Азии, Северной и Южной Америке. Среди пострадавших компаний оказались банки, биржи, страховые компании, инвестфонды и другие организации.

По наблюдениям экспертов Positive Technologies, методы Cobalt совершенствуются, хакеры быстро реагируют на вводимые банками меры защиты. Поскольку большая часть фишинговых писем с подделанным отправителем блокируется спам-фильтрами на почтовых серверах, злоумышленники начали активно атаковать поставщиков и контрагентов, чтобы использовать их инфраструктуру для атак на другие организации.

Подобная тактика уже использовалась другими злоумышленниками, например когда через инфраструктуру компании M.E.Doc был распространен вирус Petya, заблокировавший компьютеры во многих организациях.

Заместитель директора центра компетенции по экспертным сервисам Positive Technologies Алексей Новиков сказал РБК, что партнеры банков менее защищены от киберугроз, поэтому "злоумышленникам проще взломать инфраструктуру контрагента банка или государственной организации для осуществления непосредственной атаки на банк".

В Positive Technologies отметили, что в начале 2017 года 60% фишинговых писем от группы Cobalt были связаны с тематикой условий сотрудничества и порядка оказания услуг между банками и их контрагентами.

"Cobalt стала еще активнее использовать тему информационной безопасности. Подобные письма злоумышленники рассылали с поддельных доменов, в том числе от лица платежных систем Visa и MasterСard, FinCERT Центрального банка России и Национального банка Республики Казахстан", – сообщается в докладе.

Для этого хакеры зарегистрировали 22 поддельных домена, с которых провели фишинговую рассылку с вредоносным файлом в формате документа Microsoft Word. Когда пользователь открывал его, запускалась программа, не дающая антивирусу среагировать на взлом. После этого на компьютер загружался троянский вирус, позволяющий удаленно пользоваться зараженным устройством. 

Примеры писем, которые рассылали хакеры. Скриншот: ptsecurity.com

Эксперты считают, что Cobalt имеет российские корни. Она сформировалась из хакеров Buhtrap, которые с августа 2015 года по февраль 2016 года украли со счетов "Металлинвестбанка" и "Русского международного банка" 1,8 млрд руб. (около $30 млн), отправляя фишинговые письма от имени Центробанка РФ.

В Positive Technologies хакеров Cobalt называют "наиболее профессиональной и технически подкованной" группировкой.