+8 Київ
Хакерське угруповання Cobalt у першій половині 2017 року атакувало понад 3 тисячі користувачів у 12 країнах світу, розсилаючи фішингові листи від імені Visa і MasterCard. Про це йдеться у звіті компанії Positive Technologies, що займається інформаційною безпекою.
Зазначають, що листи хакерів із зараженими файлами отримали користувачі в СНД, Європі, Південно-Східній Азії, Північній і Південній Америці. Серед постраждалих компаній опинилися банки, біржі, страхові компанії, інвестфонди та інші організації.
За спостереженнями експертів Positive Technologies, методи Cobalt удосконалюються, хакери швидко реагують на заходи захисту, які запроваджують банки. Оскільки більшу частину фішингових листів із підробленим відправником блокують спам-фільтри на поштових серверах, зловмисники почали активно атакувати постачальників і контрагентів, щоб використовувати їхню інфраструктуру для атак на інші організації.
Таку тактику вже використовували інші зловмисники, наприклад, коли через інфраструктуру компанії M.E.Doc було поширено вірус Petya, який заблокував комп'ютери у багатьох організаціях.
Заступник директора центру компетенції з експертних сервісів Positive Technologies Олексій Новіков сказав РБК, що партнери банків менш захищені від кіберзагроз, тому "зловмисникам простіше зламати інфраструктуру контрагента банку або державної організації для здійснення безпосередньої атаки на банк".
У Positive Technologies зазначили, що на початку 2017 року 60% фішингових листів від групи Cobalt було пов'язано з тематикою умов співпраці та порядку надання послуг між банками та їхніми контрагентами.
"Cobalt стала ще активніше використовувати тему інформаційної безпеки. Такі листи зловмисники розсилали з підроблених доменів, зокрема від особи платіжних систем Visa і Mastercard, FinCERT Центрального банку Росії та Національного банку Республіки Казахстан", – повідомляють у доповіді.
Для цього хакери зареєстрували 22 підроблені домени, з яких провели фішингове розсилання зі шкідливим файлом у форматі документа Microsoft Word. Коли користувач відкривав його, запускалася програма, яка не давала антивірусу зреагувати на злам. Після цього на комп'ютер завантажувався троянський вірус, який дає змогу віддалено користуватися зараженим пристроєм.
Приклади листів, які розсилали хакери. Скріншот: ptsecurity.com
Експерти вважають, що Cobalt має російське коріння. Воно сформувалося з хакерів Buhtrap, які з серпня 2015 року до лютог 2016 року вкрали з рахунків "Металлинвестбанка" і "Русского международного банка" 1,8 млрд руб. (приблизно $30 млн), надсилаючи фішингові листи від імені Центробанку РФ.
У Positive Technologies хакерів Cobalt називають "найбільш професійним і технічно підкованим" угрупованням.
