В 2017 году на российские банки была совершена 21 атака с помощью программы Cobalt Strike, из них 11 оказались успешными. Под удар попало 240 кредитных организаций, из которых преступникам удалось похитить 1,156 млрд рублей. Об этом на Уральском форуме «Информационная безопасность финансовой сферы» сообщил зампред ЦБ Дмитрий Скобелкин.

В своем отчете за первое полугодие 2017 года Центр мониторинга и реагирования на компьютерные атаки Банка России (ФинЦЕРТ) сообщил, что основным трендом у киберпреступников, специализирующихся на финансовых организациях, стало использование легального коммерческого ПО Cobalt Strike.

Изначально эта программа предназначена для проведения тестов на проникновение. В ее состав входит многофункциональный троян Beacon, который является основной «полезной нагрузкой» и предоставляет широкие возможности по удаленному управлению системами. Злоумышленники используют его для установки в банкоматы программы, которая взаимодействует с их XFS-фреймворком и дает команду выдать наличные.

Cobalt Strike дал название группировке Cobalt, которая известна с 2016 года и специализируется на кибератаках на банки, биржи, страховые компании и инвестиционные фонды с целью кражи денег. Под удар попадают также поставщики и контрагенты финансовых организаций: их инфраструктуру и учетные записи реальных сотрудников преступники используют для рассылки фишинговых писем. Такой подход обеспечивает высокий уровень доверия получателей и помогает избежать блокировки системами фильтрации на почтовых серверах.

Преступники выбирают не вызывающие подозрений темы посланий, их содержание и названия вложений: «Порядок определения размера пени», «Счет за обслуживание ваших банкоматов», «Документы на подпись», «Сверка балансов». Когда ФинЦЕРТ начал предупреждать организации о деятельности группировки, злоумышленники воспользовались этим и стали рассылать банкам предупреждения от имени Центра мониторинга с описанием попыток атак. При этом все письма содержали те или иные вредоносные вложения: документ с эксплойтом (.doc, .rtf, .xls), архив с исполняемым файлом дроппера (.exe, .scr), архив с LNK-файлом.

Для того чтобы наличие зловреда в сети не было выявлено сразу, преступники действуют преимущественно в ночное время, подчищают за собой следы, удаляя данные, а также активно используют для внедрения и распространения легальные программы: Ammyy Admin, TeamViewer, Mimikatz, PsExec, SoftPerfect Network Scanner. Иногда сотрудники сами помогают злоумышленникам, отключая антивирус.

Все специалисты по кибербезопасности советуют финансовым учреждениям вовремя обновлять не только средства защиты, но и стандартные программы, так как преступники чаще всего используют распространенные уязвимости. Также эксперты рекомендуют проводить тренинги для сотрудников с целью повышения их осведомленности о возможных угрозах.

Категории: Мошенничество