МОСКВА, 27 мар - ПРАЙМ. Компания Group-IB, занимающаяся предотвращением и расследованием киберпреступлений, зафиксировала очередную кибератаку с использованием вирусов-вымогателей со стороны известной группировки Cobalt, говорится в сообщении компании.
Группа Cobalt проводила фишинговую рассылку от имени компании SpamHaus, которая борется со спамом и фишингом. В письме, отправленном с адреса j.stivens@spamhuas.com (реальный домен "Spamhaus" - spamhaus.org), утверждается, что IP-адреса компании-получателя были заблокированы из-за подозрений в рассылке спама. Авторы письма предлагали жертве перейти по ссылке: она вела на загрузку документа Microsoft
"Утром 26 марта (ориентировочно в 11.00 мск) центр реагирования на киберинциденты (CERT) Group-IB зафиксировал фишинговую рассылку Cobalt от имени SpamHaus, известной некоммерческой организации, которая борется со спамом и фишингом... Изучив структуру атаки, специалисты отдела анализа вредоносного кода подтвердили, что за рассылкой стоит именно Cobalt", - говорится в сообщении.
В конце марта Европол сообщил о задержании в Испании лидера Cobalt, а на Украине - еще одного участника группы, занимавшегося разработкой вредоносного программного обеспечения.
"Мы не исключаем, что оставшиеся на свободе члены Cobalt некоторое время будут продолжать атаки, в том числе чтобы показать, что их задержанные подельники не причастны к этой группе. Однако, учитывая арест лидера группы, такие атаки вскоре сойдут на нет. Вероятнее всего, члены Cobalt примкнут к действующим группам или в результате очередного "передела" появится новая киберкриминальная структура, атакующая банки в разных странах. В любом случае не стоит списывать со счетов наследие Cobalt - и с точки зрения ресурсов, и с точки зрения инструментария", - приводятся в сообщении слова руководителя департамента Threat Intelligence и CTO Group-IB Дмитрия Волкова.
Группа Cobalt стала известна в 2016 году, с ней связывают атаки на ряд банков СНГ и Восточной Европы. Атаки Cobalt начинаются с целевой рассылки фишинговых писем сотрудникам банка. Вредоносное вложение в письме при его открытии распространяется внутри сети банка, в частности, хакеры получают контроль над системами управления банкоматами. В конце 2017 года впервые в истории финансовой системы России они совершили успешную атаку на банк с использованием системы межбанковских переводов (SWIFT). По данным Group-IB, средняя сумма хищений в результате одного инцидента - примерно 100 миллионов рублей.
