Хакерське угруповання Cobalt, яке вважають російським, у першій половині 2017 року атакувало понад 250 компаній у різних країнах, розіславши фішингові листи від імені Visa і MasterCard.
Про це повідомляють у звіті компанії Positive Technologies, яка працює над інформаційною безпекою, пише РБК.
Листи хакерів із зараженими файлами отримали понад три тисячі осіб із 250 компаній у 12 країнах світу.
У розсилку потрапили користувачі з країн СНД, Європи, Південно-Східної Азії, Північної та Південної Америки. Серед постраждалих компаній опинилися банки, біржі, страхові компанії, інвестиційні фонди та інші організації.
Експерти Positive Technologies зазначають, що методи Cobalt удосконалюються. Хакери зламали інфраструктуру партнерів банків, перш ніж атакувати їх.
"Атаки на нефінансові організації здійснюють з метою підготовки плацдарму для подальших атак на банки. Наприклад, зловмисники можуть розсилати фішингові листи від імені регулятора або партнера банку, якому він надає послуги", - розповів заступник директора центру компетенції з питань експертних сервісів Positive Technologies Олексій Новиков.
За його словами, такі організації менше захищені від кіберзагроз, "зловмисникам простіше зламати інфраструктуру контрагента банку або державної організації для здійснення безпосередньої атаки на банк".
Окрім того, в Positive Technologies помітили, що атаки на банки стали витонченішими. Хакери надсилають фішингові повідомлення від імені Visa, MasterCard, центру реагування на кібератаки у фінансовій сфері Центрального банку Росії (FinCERT) і Національного банку Республіки Казахстан. Листи хакери відправляють із підроблених доменів. За інформацією експертів, Cobalt використовувала не менш ніж 22 фальшиві домени, що імітували інші великі сайти.
Cobalt реєструє підроблені домени, потім здійснює фішингову розсилку на адреси компаній і банків. Листи, як правило, містять шкідливий файл у форматі документа Microsoft Word. Коли користувач відкриває його, на пристрої запускається програма, яка не дає антівіруснику зреагувати на злом. Після цього на пристрій завантажується троянський вірус, що дозволяє віддалено користуватися зараженим комп'ютером. Після цього хакери можуть поширити атаку на інші комп'ютери організації або відправити зі зламаного пристрою фішинговий лист в інші компанії.
Фахівці компанії вважають, що Cobalt сформувалася з хакерів Buhtrap, які з серпня 2015 року по лютий 2016 року вкрали з рахунків Металінвестбанку і Російського міжнародного банку 1,8 млрд рублів. Тоді фішингові листи користувачам приходили від імені Центробанку. У Positive Technologies хакерів Cobalt називають "найбільш професійною та технічно підкованою" групою.
Співробітники "Лабораторії Касперського" вважають, що Cobalt сформувалася з іншого угруповання - Carbanak. Його програму використовували у 2014 і 2015 роках для крадіжки коштів з банків. Провідний антивірусний експерт лабораторії Сергій Голованов зазначає, що в Carbanak входять близько ста осіб, у середньому одна атака цього хакерського угруповання обходиться банкам в сотні тисяч доларів.
Нагадаємо, раніше в липні Times заявив про атаку російських хакерів на ірландські енергомережі.