Кибергруппировка Fin7, также известная под названиями Cobalt и Carbanak, атаковала американскую сеть ресторанов Burgerville и похитила платежные данные ее посетителей. По словам представителей компании, в зоне риска оказались все клиенты, которые расплачивались картой с сентября 2017 года по сентябрь 2018-го.

Руководители сети узнали об утечке 22 августа от агентов ФБР, которые арестовали трех участников Fin7 за несколько недель до этого. Группировка уже давно проявляла интерес к организациям из сферы питания, используя бесфайловые вредоносы для удаленного контроля над информационными системами.

В пресс-релизе ФБР об августовских задержаниях говорится, что в последнее время преступники атаковали предприятия на северо-западе США — именно в этом регионе и располагаются рестораны Burgerville. Список жертв также включает заведения Chipotle Mexican Grill, Chili’s, Arby’s, Red Robin и Jason’s Deli.

Организаторы кампании приложили немало усилий, чтобы замести следы, поэтому изначально инцидент получил скромную оценку. Истинный масштаб проблемы прояснился только к 19 сентября — компания поняла, что столкнулась не с единичным проникновением, а с систематической кражей данных.

Представители Burgerville не раскрывают ни способ проникновения вредоносного ПО в инфраструктуру, ни список зараженных систем. Известно лишь, что преступники скомпрометировали все возможные платежные данные — от номеров карт до CVV-кодов. Это позволяет им клонировать «пластики» и присваивать деньги без введения PIN-кода.

Компания привлекла к устранению бреши ФБР и сторонних ИБ-экспертов. Все работы шли скрытно, чтобы не вызывать подозрений злоумышленников. Специалисты удалили вредонос из пораженных систем и приняли меры, чтобы ситуация не повторилась в будущем.

Всем клиентам, которые могли стать жертвой зловредной кампании, Burgerville рекомендует тщательно проверить операции по банковским счетам. Держатели пластиковых карт также могут обратиться в одно из кредитных бюро, чтобы отключить овердрафт и сократить возможный ущерб.

Это уже третья новость об атаках Cobalt за неделю. В последних числах сентября о растущей активности группировки сообщили эксперты Secureworks. Вскоре после этого стало известно о взломе платежных шлюзов нескольких российских банков, в результате чего преступники украли по меньшей мере $100 тыс.

Категории: Хакеры