Хакеры пишут банкам письма от имени регуляторов и атакуют их через контрагентов

Безопасность Стратегия безопасности ИТ в банках
мобильная версия

Компания Positive Technologies провела исследование, посвященное деятельности преступной группы Cobalt. Она известна с 2016 г., когда атаковала ряд банков СНГ и Восточной Европы. Атаки Cobalt начинаются с целевой рассылки фишинговых писем сотрудникам банка. Когда сотрудник открывает вредоносное вложение, его компьютер заражается, а затем вредоносные программы распространяется внутри сети банка, вплоть до систем управления банкоматами. Заражение банкоматов, в свою очередь, позволяет злоумышленникам похищать из них крупные суммы денег.

Деятельность группы была разоблачена в прошлом году. По результатам FinCERT России начал предупреждать кредитно-финансовые организации об активности Cobalt. Однако это не остановило злоумышленников: в ответ на защитные меры они стали использовать более изощренные методы атак.

Например, когда большую часть фишинговых писем с подделанным адресом отправителя стали блокировать спам-фильтры, злоумышленники начали активнее использовать поддельные домены, схожие по написанию с адресами реальных организаций. На сегодняшний день в результате совместной работы экспертов Positive Technologies и отраслевых регуляторов все фишинговые домены, выявленные в зоне .ru, и большая часть доменов в других зонах сняты с делегирования.

Также в 2017 г. злоумышленники стали активно атаковать различные компании, сотрудничающие с банками, а затем рассылать фишинговые письма из инфраструктур атакованных организаций с использованием учетных записей и почтовых адресов их сотрудников. Такой подход обеспечивает высокий уровень доверия к отправителю. Успешности атак способствует и тематика писем: в начале 2017 г. 60% фишинговых писем от группы Cobalt были посвящены условиями сотрудничества между банками и их контрагентами.

В этом году к списку традиционных целей Cobalt в странах СНГ, Восточной Европы и Юго-Восточной Азии, добавились компании, расположенные в Западной Европе, а также в Северной и Южной Америке. При этом 75% компаний в фишинговой рассылке связаны с финансами, а оставшиеся 25% относятся к другим сферам (государственные организации, телекомы, услуги и развлечения, и т.д.). В Positive Technologies предполагают, что их атакуют с целью использования в качестве промежуточного звена.

Кроме того, хакеры начали вести рассылки от имени регуляторов по теме информационной безопасности. Подобные письма злоумышленники рассылали с поддельных доменов, в том числе — от имени платежных систем VISA и Mastercard, FinCERT Центрального Банка России и Национального Банка Республики Казахстан.

Еще одна тенденция — рассылки на личные адреса сотрудников организаций, а не только на корпоративные почтовые ящики. При этом рассылки проводятся таким образом, чтобы письма доставлялись в рабочее время. Таким образом, даже просматривая личную почту, пользователь скорее всего заразит офисный компьютер.

Авторы исследования отмечают, что пока нет возможности достоверно оценить фактические убытки компаний от деятельности группы Cobalt в 2017 г. Однако исходя из масштабов деятельности группы по всему миру, нельзя исключить серьезные последствия для финансовых организаций в ближайшем будущем.

«Помимо банков, являющихся уже традиционными для группы Cobalt целями, в число атакованных начали входить и другие, связанные с финансовым сектором, компании: страховые, инвестиционные фонды, брокеры, ― уточняет Эльмар Набигаев, руководитель отдела реагирования на угрозы информационной безопасности Positive Technologies. ― В этом году группа активнее начала атаковать контрагентов, чтобы уже через них добраться до банков. Так, например, одной из успешных атак на банк предшествовал взлом инкассаторской компании. При этом защита самого банка для проникновения снаружи была устойчива, но Cobalt воспользовался нюансами современного бизнеса, связанными с зависимостью от многочисленных контрагентов, чей периметр гораздо слабее».