Информационное агентство
ВакансииИнтЕрвЬЮ
Мнения ⁄
Рустам Миркасымов
Эксперт по Threat Intelligence Group-IB

13 февраля 13:21IT и медиа

Российские банки понесли более 1 млрд руб. ущерба в результате хакерских атак Cobalt в 2017 году, сказал зампред ЦБ Дмитрий Скобелкин в ходе X Уральского форума «Информационная безопасность финансовой сферы».

Эта группа впервые появилась в начале 2016 года. Первая атака была зафиксирована в Гонконге, потом группа начала атаковать банки уже и по всему миру. За два последних года Cobalt успешно атаковала банки в России, Великобритании, Нидерландах, Испании, Румынии, Белоруссии, Польши, Эстонии, Болгарии, Грузии, Молдавии, Киргизии, Армении, Тайване и Малайзии и так далее. Первоначально они специализировались на бесконтактных (логических) атаках на банкоматы. Кроме систем управления банкоматами, киберпреступники стараются получить доступ к платежным шлюзам и карточному процессингу. В конце 2017 года впервые в истории финансовой системы России совершили успешную атаку на банк с использованием системы межбанковских переводов (SWIFT).

Секрет успеха группы состоит в том, что Cobalt постоянно тестирует новые инструменты и схемы, часто меняет локацию проведения атак и хорошо знает, как работают банки. После заражения компьютеров сотрудников того или иного банка Cobalt ждет от двух до четырех недель для того, чтобы изучить внутреннюю инфраструктуру организации, наблюдает за рабочим процессом, и только после этого проводит атаку. То есть атака готовится в течение длительного времени, что позволяет им выводить большие суммы денег.

Стоит отметить, что в последнее время целью атак этой группы становятся не только банки, но и разработчики ПО, СМИ, а также страховые компании. С получением доступа к инфраструктуре таких агентов последующие атаки уже непосредственно на финансовые учреждения выполняются от имени и с серверов зараженных подрядчиков, что сильно увеличивает вероятность успешного заражения.

Для заражения они рассылают грамотно составленные фишинговые письма, в которых содержатся либо сами эксплоиты, либо ссылки на вредоносные программы. И после того, как сотрудник открывает вредоносное вложение, происходит заражение компьютера и дальнейшее распространение в сети.

Можно сказать, что атаки проводятся практически по всему миру за неким исключением. Но сказать, откуда именно они, нельзя, потому что для каждого региона группа подбирает людей, которые будут принимать участие в атаке, в том числе для вывода денег.

Для защиты своего бизнеса необходимо проводить регулярный инструктаж сотрудников по цифровой гигиене, обучать свою службу безопасности, а также приобрести средства комплексной защиты, таких как TDS Polygon (песочница). Подписка на поставщика услуг Threat Intelligence позволит службе безопасности банков быть в курсе таких атак и принимать превентивные меры по защите.

Срочная новость   ⁄