В сентябре четыре российских банка стали новыми жертвами группировки Cobalt, также известной как Carbanak. На данный момент в открытых источниках есть подробности только одного инцидента — из Банка жилищного финансирования (БЖФ) злоумышленники вывели $100 тыс.

Менее чем неделю назад о возобновлении активности Cobalt предупреждали эксперты Secureworks. В своем исследовании аналитики рассказали о новом зловреде в преступном арсенале группировки и подчеркнули, что мошенники планируют взлом банкоматов и платежных шлюзов.

По информации газеты «КоммерсантЪ», атаки начались с фишинговой рассылки якобы от имени «Альфа-банка». Представители кредитной организации уже заявили, что преступники не взламывали их электронную почту, а использовали похожий адрес. В письмах речь шла о неких финансовых транзакциях, которые требовали уточнения из‑за подозрений в мошенничестве.

Журналисты выяснили, что Центробанк еще в середине августа предупреждал участников рынка об идущей фишинговой кампании. Тем не менее, как минимум в четырех случаях преступникам удалось обмануть адресатов и заразить их компьютеры трояном Beacon. Ранее специалисты уже связывали этот зловред с Cobalt — группировка использовала его для атак на банкоматы.

На этот раз целью мошенников были банковские платежные шлюзы, которые используются для проведения финансовых операций. Как отмечают ИБ-эксперты, эти системы не могут автоматически определить нелегитимную транзакцию в потоке проходящих платежей. Предполагается, что этот фактор и стал определяющим для организаторов кампании.

В ходе атаки преступники показали знание специфических банковских процессов, что позволило им обойти ограничения на размер денежных переводов. Эти лимиты как раз призваны защитить участников рынка от мошеннических транзакций. По мнению экспертов, именно сложность манипуляций с платежными шлюзами объясняет тот факт, что преступники нечасто пытаются выводить через них средства.

Однако участников Cobalt эти трудности не остановили. Злоумышленники взломали автоматизированную банковскую систему (АБС) жертвы и вручную повысили сумму допустимых операций. После этого они перевели средства на карты и обналичили их.

Правоохранительные органы не раскрывают названия остальных трех банков, которые пострадали от сентябрьских атак. Источник «Коммерсанта» отметил, что во всех организациях были проблемы с информационной безопасностью, которые можно было выявить только через внеплановые проверки. В частности, администраторы пренебрегали антивирусным ПО и устанавливали на компьютеры нелицензионное ПО.

Специалисты подчеркивают, что угроза до сих пор актуальна. Так, последние фишинговые рассылки в рамках этой кампании обнаружили уже после атаки на БЖФ. Для противодействия мошенникам предлагается расширить полномочия регуляторов по проверке банковских систем ИБ, а также укрепить защиту платежных шлюзов и ключей доступа к АБС.

Группировка Cobalt действует с 2013 года. За это время преступники атаковали сотни банков по всему миру, похитив более миллиарда долларов. В марте этого года в ходе международной полицейской операции удалось арестовать руководителя ОПГ, которым оказался житель Украины. Однако уже через два месяца мошенники возобновили активность.

Категории: Мошенничество, Хакеры