МОСКВА, 29 мая.[/b] Компания по предотвращению и расследованию киберпреступлений Group-IB зафиксировала в мае две целевых атаки известной хакерской группировки Cobalt (атакует банки), которая рассылала фишинговые письма якобы от имени "Лаборатории Касперского" и Европейского центрального банка.
По данным Group-IB, последние целевые атаки группы были проведены 23 и 28 мая. Их целями стали банки в России, странах СНГ и, предположительно, зарубежные финансовые организации. Так, 23 мая эксперты зафиксировали новую масштабную кибератаку хакерской группы Cobalt на ведущие банки России и СНГ.
"Впервые в практике Cobalt фишинговые письма были отправлены от имени крупного антивирусного вендора. Почтовая рассылка шла с домена kaspersky-corporate.com, который показал прямую связь с лицом, на которое были ранее зарегистрированы домены для атак Cobalt", — рассказали в Group-IB.
Хакеры отправили от имени "Лаборатории Касперского" "жалобу" пользователю на английском языке о том, что с его компьютера якобы зафиксирована активность, нарушающая существующее законодательство. Получателю предлагалось ознакомиться со вложенным письмом и предоставить детальные объяснения. Если ответ не поступит в течение 48 часов, "антивирусная компания" угрожала наложить санкции на web-ресурсы получателя. Для того, чтобы скачать письмо, необходимо было перейти по ссылке, что привело бы к заражению компьютера сотрудника банка.
Вторая вредоносная рассылка Cobalt была от имени Европейского центрального банка с ящика v.constancio@ecb-europa[.]info. В письме содержалась ссылка на документ 67972318.doc, якобы описывающий финансовые риски.
В пресс-службе "Лаборатории Касперского" РИА Новости подтвердили, что на прошлой неделе действительно была зафиксирована фишинговая рассылка, маскирующаяся под уведомления для пользователей.
"Упоминание известного бренда в подобных случаях — очень распространенная практика. Часто фальшивые письма и фальшивые сайты во всем повторяют дизайн настоящих, чтобы ввести в заблуждение невнимательных пользователей: могут маскироваться имена файлов, сервера управления и т.д. На данный момент домены, с которых распространялась рассылка, заблокированы, вредоносное программное обеспечение изначально детектировалось и блокировалось защитными решениями "Лаборатории Касперского", — отметили в компании.
Группа Cobalt стала известна в 2016 году, с ней связывают атаки на ряд банков СНГ и Восточной Европы. Атаки Cobalt начинаются с целевой рассылки фишинговых писем сотрудникам банка. Вредоносное вложение в письме при его открытии распространяется внутри сети банка, в частности, хакеры получают контроль над системами управления банкоматами. В конце 2017 года впервые в истории финансовой системы России они совершили успешную атаку на банк с использованием системы межбанковских переводов (SWIFT). По данным Group-IB, средняя сумма хищений в результате одного инцидента — примерно 100 миллионов рублей.
В феврале 2018 года зампред ЦБ Дмитрий Скобелкин заявил, что хакеры в 2017 году провели 11 успешных атак на российские банки с помощью вируса Cobalt Strike, сумма хищений составила 1,156 миллиарда рублей. По информации Банка России, атакам данного типа подверглись более 240 кредитных организаций. В марте стало известно об аресте лидера группы в Испании.
