Компания, занимающаяся предотвращением киберпреступлений, Group-IB сообщила о новых атаках хакерской группировки Cobalt на банки России и СНГ 23 и 28 мая.
Хакеры использовали для «червей» рассылку фишинговых (спам) писем.
В списке регулярных рассылок Cobalt фигурирует 86 организаций по всему миру, включая банки, СМИ, страховые и строительные компании. Злоумышленники формируют «подписки» исходя из целей атаки. Примерно половина базы приходится на Россию.
Первую «волну» фишинга зафиксировали 23 мая в 13.21 (спустя 5 месяцев после предыдущей атаки в декабре 2017 года). Письма отправлялись от имени антивирусной «Лаборатории Касперского» с похожего, но ложного домена kaspersky-corporate.com с угрозой блокировки на английском языке в течение 48 часов. Переход по ссылкам вел к заражению системы.
Вторая рассылка Cobalt была зафиксирована 28 мая в 13.00. Группировка «замаскировалась» под Центральный европейский банк и рассылала doc-файлы, где якобы содержалась информация о финансовых рисках. Внутри документа также лежала вредоносная программа.
Эксперты Group-IB отмечают высокое качество писем, так как они были стилизованы под нужный формат и не вызывали подозрения при первом прочтении
Хакерская группа Cobalt:
Cobalt – агрессивная русскоязычная хакерская группировка, действующая с 2013 года. С начала своего существования похитила со счетов компаний свыше €1 млрд.
Жертвами Cobalt стали финансовые структуры 40 стран, среди которых Россия, Великобритания, Нидерланды, Испания и др.
Лидера группировки арестовали в Испании в марте 2018 года. Несмотря на это, хакерская коалиция продолжает активно работать.
Cobalt одними их первых организовали систему хищения средств с использованием системы межбанковских переводов SWIFT.
.
