Хакерская группировка Cobalt, специализирующаяся на крупных хищениях из банков, в течение недели осуществила две целевые атаки - 23 и 28 мая, рассказали "Интерфаксу" в пресс-службе компании Group-IB, работающей в области предотвращения и расследования киберпреступлений.

По данным компании, целями Cobalt стали банки из России и СНГ, а также предположительно зарубежные финансовые организации.

Первая волна фишинговой рассылки была зафиксирована после полудня 23 мая, при этом письма распространялись от имени антивирусной компании "Лаборатория Касперского".

Почтовая рассылка шла с домена kaspersky-corporate.com; Group-IB установила, что на владельца этого домена ранее были зарегистрированы и другие домены для атак Cobalt.

В письме содержалась англоязычная жалоба о том, что с компьютера жертвы якобы зафиксирована активность, нарушающая действующее законодательство. Ему предлагалось в течение 48 часов предоставить детальные объяснения в связи с "жалобой". Ознакомиться с ней можно было, перейдя по прикрепленной ссылке. "Команда Лаборатории Касперского" угрожала наложить санкции на web-ресурсы жертвы, если она не предоставит ответ в установленный срок. Переход по ссылке запускал троянскую программу, которую хакеры Cobalt используют с конца прошлого года.

Вторую атаку Group-IB зафиксировала днем 28 мая. На этот раз хакеры Cobalt разослали по банкам письмо от имени ЕЦБ - с ящика v.constancio@ecb-europa.info. В нем содержалась ссылка на документ Word якобы с описанием финансовых рисков. Этот файл эксплуатирует уязвимость в Microsoft Office, он заражает компьютер и осуществляет первичное "закрепление" вредоносной программы в системе банка.

"ФинЦЕРТ Банка России своевременно информировал кредитные организации о данных фишинговых рассылках", - сообщили "Интерфаксу" в пресс-службе регулятора.

В "Лаборатории Касперского" знают, что на прошлой неделе осуществлялась фишинговая рассылка, маскирующаяся под уведомления для пользователей от имени компании. В настоящее время домены, с которых распространялась рассылка, заблокированы, вредоносное программное обеспечение детектировалось и блокировалось защитными решениями антивирусной компании.

"Упоминание известного бренда в подобных случаях - очень распространенная практика. Часто фальшивые письма и фальшивые сайты во всем повторяют дизайн настоящих, чтобы ввести в заблуждение невнимательных пользователей: могут маскироваться имена файлов, сервера управления и т.д.", - сообщили "Интерфаксу" в пресс-службе "Лаборатории Касперского".

В Group-IB не исключают, что жертвами последних кибератак могли быть в том числе иностранные банки. Эксперты компании также считают, что в майских атаках хакеры Cobalt могли действовать в сотрудничестве с группировкой Anunak (Carbanak).

До этого атаки Cobalt в России последний раз были зафиксированы в декабре 2017 года.

Cobalt - это русскоязычная группировка, известная атаками на банки и другие организации в России, Великобритании, Нидерландах, Испании, Румынии, Белоруссии, Польше, Эстонии, Болгарии, Грузии, Молдавии, Киргизии, Казахстане, Армении, Тайване, Малайзии и т.д. Также Cobalt осуществляла успешные кибератаки на банки, в том числе российский, с использованием международной системы SWIFT.

По данным Европола, хакеры Cobalt похитили свыше 1 млрд евро. В марте Европол сообщил о задержании лидера группировки.

По данным ЦБ РФ, в 2017 год было зарегистрировано не менее 21 волны атак Cobalt. Атакам подверглись более 240 кредитных организаций, 11 из них были успешны. Ущерб российских кредитных организаций от атак Cobalt в прошлом году превысил 1 млрд рублей.