По данным аналитиков, в первой половине текущего года Cobalt разослала фишинговые письма с зараженными файлами более чем 3 тыс. получателей из 250 компаний в 12 странах мира. Письма рассылались с поддельных доменов и имитировали сообщения от Visa, MasterCard, центра реагирования на кибератаки в финансовой сфере Центрального банка России (FinCERT) и Национального банка Республики Казахстан.
"Наша статистика показывает, что в среднем 20-30% сотрудников открывают потенциально опасные вложения, ставящие под угрозу всю безопасность компании. Но в данном случае процент открывших был в 2-2,5 раза выше, так как письма отправлялись от лица контрагента, а в ряде случаев даже от имени конкретных сотрудников", – говорится в отчете Positive Technologies.
Эксперты также отмечают, что теперь, прежде чем атаковать банки, Cobalt предварительно взламывает инфраструктуру их партнеров – четверть всех атак группировки приходится на госорганизации, промышленные компании, телекоммуникационных операторов и предприятия из сферы медицины.
"Атаки на нефинансовые организации осуществляются с целью подготовки плацдарма для последующих атак на банки. К примеру, злоумышленники могут рассылать фишинговые письма от лица регулятора или партнера банка, для которого он предоставляет услуги", – отметил заместитель директора центра компетенции по экспертным сервисам Positive Technologies Алексей Новиков, отметив, что кредитно-финансовые организации гораздо лучше защищены от киберугроз, чем государственные органы и компании промышленного сектора.
Глава отдела динамического анализа вредоносного кода компании Group-IB Рустам Миркасымов отметил, что главной целью Cobalt по-прежнему остается похищение денег у финансовых организаций, однако атаки хакеров действительно стали затрагивать не только банки. В компании зафиксировали атаки хакеров на юридические и страховые фирмы, информационные и новостные агентства, лизинговые компании. По словам Миркасымова, таким образом хакеры тестируют атаку на эффективность для дальнейших атак на банковскую инфраструктуру. Известны случаи, когда инфраструктура крупного интегратора использовалась этой группой для проведения атак на банки в Румынии, Казахстане, Азербайджане, Молдавии, России и других странах, а средняя сумма хищений по одному инциденту составляет около 100 млн рублей.
Аналитики из Positive Technologies и Group-IB связывают Cobalt с группировкой Buhtrap, которая была замечена экспертами в сфере информационной безопасности в 2014 году. Так, по данным Group-IB, с августа 2015 года по февраль 2016-го ее хакеры похитили со счетов российских банков 1,8 млрд рублей.
"Вероятно, часть группировки Buhtrap или даже основной ее костяк перешли в Cobalt. На данный момент Cobalt, безусловно, лидирует по степени опасности для отечественной финансовой среды как наиболее профессиональная и технически подкованная", – отмечают в Positive Technologies.
В то же время в "Лаборатории Касперского" полагают, что члены Cobalt являются выходцами из группировки Carbanak, первые атаки которой зафиксированы в 2013 году. По словам ведущего антивирусного эксперта компании Сергея Голованова, в Carbanak состоит около ста человек, а ущерб от ее действий уже превысил 1 млрд долларов.
Напомним, ранее заместитель начальника главного управления безопасности и защиты информации Центробанка Артем Сычев сообщал, что ущерб российских банков от действий хакеров за 2016 год составил чуть более 2 млрд рублей.