' style='fill:%23c4c4c4;fill-opacity:1'%3E%3Cpath d='M93.28-57.4h2.52l-6.33 11.74h-2.6l6.41-11.75zM98.5-57.4h2.52L94.7-45.67h-2.6l6.4-11.75zM103.78-57.4h2.52l-6.33 11.74h-2.6l6.4-11.75z'/%3E%3C/a%3E%3C/svg%3E)
Хакеры с рассылкой от имени Visa и MasterCard атаковали 250 компаний по всему миру
Хакерская группировка Cobalt, которую считают российской, в первой половине 2017 года атаковала более 250 компаний в разных странах, рассылая фишинговые письма от имени Visa и MasterCard. Об этом сообщается в отчете компании Positive Technologies, занимающейся информационной безопасностью, пишет РБК.
Письма хакеров с зараженными файлами получили более трех тысяч человек из 250 компаний в 12 странах мира.
В рассылку попали пользователи из стран СНГ, Европы, Юго-Восточной Азии, Северной и Южной Америки. Среди пострадавших компаний оказались банки, биржи, страховые компании, инвестфонды и и другие организации.
Эксперты Positive Technologies отметили, что методы Cobalt совершенствуются. Хакеры предварительно взломали инфраструктуру партнеров банков, прежде чем атаковать их.
«Атаки на нефинансовые организации осуществляются с целью подготовки плацдарма для последующих атак на банки. К примеру, злоумышленники могут рассылать фишинговые письма от лица регулятора или партнера банка, для которого он предоставляет услуги», — рассказал заместитель директора центра компетенции по экспертным сервисам Positive Technologies Алексей Новиков.
По его словам, такие организации менее защищены от киберугроз, «злоумышленникам проще взломать инфраструктуру контрагента банка или государственной организации для осуществления непосредственной атаки на банк».
Кроме того, в Positive Technologies заметили, что атаки на банки стали изощреннее. Хакеры делают фишинговые сообщения от лица Visa, MasterCard, центра реагирования на кибератаки в финансовой сфере Центрального банка России (FinCERT) и Национального банка Республики Казахстан. Письма хакеры направляют с поддельных доменов. По информации экспертов, Cobalt использовала не менее 22 поддельных доменов, которые имитировали другие крупные сайты.
Cobalt регистрирует поддельные домены, затем проводит фишинговую рассылку на адреса компаний и банков. В письмах, как правило, содержится вредоносный файл в формате документа Microsoft Word. Когда пользователь открывает его, на устройстве запускается программа, которая не дает антивируснику среагировать на взлом. После этого на устройство загружается троянский вирус, позволяющий удаленно пользоваться зараженным компьютером. После этого хакеры могут распространить атаку по остальным компьютерам организации или отправить со взломанного устройства фишинговое письмо в другие компании.
Специалисты компании считают, что Cobalt сформировалась из хакеров Buhtrap, которые с августа 2015 года по февраль 2016 года украли со счетов Металлинвестбанка и Русского международного банка 1,8 миллиарда рублей. Тогда фишинговые письма пользователям приходили от имени Центробанка. В Positive Technologies хакеров Cobalt называют «наиболее профессиональной и технически подкованной» группировкой.
Сотрудники «Лаборатории Касперского» считают, что Cobalt сформировалась из другой группировки — Carbanak. Ее программа использовалась в 2014 и 2015 годах для хищения средств из банков. Ведущий антивирусный эксперт лаборатории Сергей Голованов отмечает, что в Carbanak входит около ста человек, в среднем одна атака хакеров обходится российским банкам в десятки миллионов рублей.
По данным Positive Technologies, около 30% сотрудников открывают потенциально опасные письма. «Но в данном случае процент открывших был в 2–2,5 раза выше, так как письма отправлялись от лица контрагента, а в ряде случаев даже от имени конкретных сотрудников», — утверждают эксперты.
Хакерам Cobalt также приписывают атаку на банкоматы в Тайване и Таиланде, которая произошла летом 2016 года. Вредоносная программа заставила устройства выбрасывать деньги.
