В конце 2017 года прошла серия успешных атак на международные банки с целью хищений через SWIFT - и даже первая успешная атака в России. Два года назад многие атаки произошли именно в новогодние праздники. Есть вероятность, что история повторится.
В конце 2017 года прошла серия успешных атак на международные банки с целью хищений через SWIFT - и даже первая успешная атака в России. Два года назад многие атаки произошли именно в новогодние праздники, когда на счетах скапливаются огромные суммы, а сотрудники безопасности и смежных подразделений уже находятся в отпусках и имеют ограниченные возможности по противодействию атакующим. Группа Cobalt может совершить хищения именно в новогодние праздники, предварительно, получив доступ в банки.
Атаки на системы межбанковских переводов не являются редкостью — в уходящем году хакеры из разных международных группировок успешно атаковали, как систему SWIFT (Международных банковских переводов), так и в России систему АРМ КБР (Автоматизированное рабочее место клиента банка России), рассказал изданию "Вести.Экономика" Дмитрий Волков, руководитель департамента Threat Intelligence (Киберразведка) компании Group-IB.
Но инцидент с атакой на российский банк с использованием SWIFT - уникальный. Есть индикаторы, которые позволяют подозревать в этой атаке группу Cobalt.
Cobalt — это одна одна из самых активных преступных групп. Cobalt успешно атаковала банки по всему миру — в России, Великобритании, Нидерландах, Испании, Румынии, Белоруссии, Польши, Эстонии, Болгарии, Грузии, Молдавии, Киргизии, Армении, Тайване и Малайзии. Кроме систем управления банкоматами, киберпреступники стараются получить доступ к платежным шлюзам, карточному процессингу, системам межбанковских переводов (SWIFT).
"Все лето и осень они атаковали банки по всему миру, тестировали новые инструменты и схемы, и под конец года не снизили обороты — практически каждую неделю мы фиксируем их почтовые рассылки с вредоносными программами внутри. Последние события показывают, что Cobalt совершила успешную атаку на российский банк, используя SWIFT", - рассказывает Дмитрий Волков.
Cobalt проникает в банки довольно стандартным способом — через фишинговую рассылку с вредоносным вложением под видом банковского документа. Когда сотрудник банка открывает это письмо, загружается вредоносная программа, против которой бессильны стандартные средств защиты.
После этого хакеры исследуют сеть, перемещаются с одного компьютера на другой, ищут администратора, имеющего доступ к системе вывода денег —системе банкоматов, карточному процессинга или системе межбанковских переводов. До недавнего времени Cobalt обходил стороной системы SWIFT или АРМ КБР - на этом специализировались другие группы. Но последние события показали, что Cobalt смог справиться и со SWIFT.
Группа постоянно ищет новые уязвимости для проникновения в банки и крайне быстро вносит изменения в рассылаемые документы: антивирусные решения оказываются бессильными перед такой атакой. В результате вредоносное вложение попадает к сотруднику банка. Если Cobalt закрепился в системе, он гарантированно выводит деньги. Средняя сумма хищений вследствие деятельности этой группы, по оценкам Group-IB, достигает 100 млн рублей. В среднем, временной промежуток от проникновения до вывода денег составляет 3-4 недели.
Информацию по успешном выводе/обналичке мы подтвердить не можем, однако удивляться тут нечему: это хищение является следствием атаки, которую Cobalt провел несколько недель назад. Об этой и других атаках Cobalt подписчики Threat Intelligence получали уведомления: для них эта угроза минимальна, поскольку система со 100% вероятностью отслеживает их активность на разных этапах проведения этой сложной атаки. С помощью Threat Intelligence Group-IB регулярно фиксирует новые данные об угрозах, утечках, взломах и готовящихся атаках хакерских групп. Банки и другие организации, подключенные к системе, имеют возможность оперативно отреагировать на её сигналы, до того, как хакеры смогут им навредить.
В ноябре этого года Group-IB выпустила отчет, где подробно описаны действия Cobalt. В качестве примера: 21 ноября 2017 года, в публичном GitHub репозитории Embedi было опубликовано описание некой уязвимости. Уже спустя несколько часов Cobalt начал массированную рассылку фишинговых писем, использующих эту уязвимость, по финансовым учреждениям.
В конце 2017 года прошла серия успешных атак на международные банки с целью хищений через SWIFT - и даже первая успешная атака в России. Два года назад многие атаки произошли именно в новогодние праздники, когда на счетах скапливаются огромные суммы, а сотрудники безопасности и смежных подразделений уже находятся в отпусках и имеют ограниченные возможности по противодействию атакующим. Группа Cobalt может совершить хищения именно в новогодние праздники, предварительно, получив доступ в банки.
Атаки на системы межбанковских переводов не являются редкостью — в уходящем году хакеры из разных международных группировок успешно атаковали, как систему SWIFT (Международных банковских переводов), так и в России систему АРМ КБР (Автоматизированное рабочее место клиента банка России), рассказал изданию "Вести.Экономика" Дмитрий Волков, руководитель департамента Threat Intelligence (Киберразведка) компании Group-IB.
Но инцидент с атакой на российский банк с использованием SWIFT - уникальный. Есть индикаторы, которые позволяют подозревать в этой атаке группу Cobalt.
Cobalt — это одна одна из самых активных преступных групп. Cobalt успешно атаковала банки по всему миру — в России, Великобритании, Нидерландах, Испании, Румынии, Белоруссии, Польши, Эстонии, Болгарии, Грузии, Молдавии, Киргизии, Армении, Тайване и Малайзии. Кроме систем управления банкоматами, киберпреступники стараются получить доступ к платежным шлюзам, карточному процессингу, системам межбанковских переводов (SWIFT).
"Все лето и осень они атаковали банки по всему миру, тестировали новые инструменты и схемы, и под конец года не снизили обороты — практически каждую неделю мы фиксируем их почтовые рассылки с вредоносными программами внутри. Последние события показывают, что Cobalt совершила успешную атаку на российский банк, используя SWIFT", - рассказывает Дмитрий Волков.
Cobalt проникает в банки довольно стандартным способом — через фишинговую рассылку с вредоносным вложением под видом банковского документа. Когда сотрудник банка открывает это письмо, загружается вредоносная программа, против которой бессильны стандартные средств защиты.
После этого хакеры исследуют сеть, перемещаются с одного компьютера на другой, ищут администратора, имеющего доступ к системе вывода денег —системе банкоматов, карточному процессинга или системе межбанковских переводов. До недавнего времени Cobalt обходил стороной системы SWIFT или АРМ КБР - на этом специализировались другие группы. Но последние события показали, что Cobalt смог справиться и со SWIFT.
Группа постоянно ищет новые уязвимости для проникновения в банки и крайне быстро вносит изменения в рассылаемые документы: антивирусные решения оказываются бессильными перед такой атакой. В результате вредоносное вложение попадает к сотруднику банка. Если Cobalt закрепился в системе, он гарантированно выводит деньги. Средняя сумма хищений вследствие деятельности этой группы, по оценкам Group-IB, достигает 100 млн рублей. В среднем, временной промежуток от проникновения до вывода денег составляет 3-4 недели.
Мнение эксперта
Дмитрий Волков
Руководитель отдела расследований и сервиса киберразведки Threat Intelligence, сооснователь Group-IB
В ноябре этого года Group-IB выпустила отчет, где подробно описаны действия Cobalt. В качестве примера: 21 ноября 2017 года, в публичном GitHub репозитории Embedi было опубликовано описание некой уязвимости. Уже спустя несколько часов Cobalt начал массированную рассылку фишинговых писем, использующих эту уязвимость, по финансовым учреждениям.
В конце 2017 года прошла серия успешных атак на международные банки с целью хищений через SWIFT - и даже первая успешная атака в России. Два года назад многие атаки произошли именно в новогодние праздники, когда на счетах скапливаются огромные суммы, а сотрудники безопасности и смежных подразделений уже находятся в отпусках и имеют ограниченные возможности по противодействию атакующим. Группа Cobalt может совершить хищения именно в новогодние праздники, предварительно, получив доступ в банки.
