Прямой эфир
Ошибка воспроизведения видео. Пожалуйста, обновите ваш браузер.
Лента новостей
S7 получила телеграмму об отзыве разрешений на чартеры Общество, 21:04 Стал известен результат повторного теста экс-игрока «Зенита» на вирус Спорт, 21:01 Занимавшийся делом Скрипаля сотрудник возглавил британскую контрразведку Политика, 20:48 Владелица Wildberries предложила закрыть торговые залы всех магазинов Общество, 20:43 Валерий Петросян — РБК: «Сколько стоит сделать из России чистую страну» Зеленая экономика, 20:41  Мурманский губернатор назвал двух человек причиной заражения в регионе Политика, 20:35 Журналист назвал бойца на замену Нурмагомедову в поединке с Фергюсоном Спорт, 20:27 В Нидерландах из закрытого на карантин музея украли картину Ван Гога Общество, 20:26 В Петербурге ввели режим всеобщей самоизоляции Общество, 20:26 За фейки об эпидемиях предложили штрафовать на 3 млн руб. Общество, 20:24 Власти Москвы уточнили информацию о сроках самоизоляции Общество, 20:17 Количество кошельков с одним биткоином установило исторический максимум Крипто, 20:07 В СКР допросили депутата госсовета Адыгеи по делу о хищении 700 млн руб. Общество, 20:05 В Италии число заразившихся коронавирусом превысило 100 тыс. человек Общество, 20:02
Технологии и медиа ,  
0 

В Испании задержан лидер хакеров — похитителей €1 млрд

В Испании задержан лидер хакерской группировки Cobalt, атаковавшей около сотни финансовых организаций в 40 странах. Общий ущерб от ее действий оценивается в €1 млрд. В Европоле заявили РБК, что он «из русскоязычного мира»
Сотрудники полиции Испании. Апрель 2017 года (Фото: Manu Fernandez / AP)

В Испании арестован лидер хакерской группировки Cobalt, похитившей более €1 млрд примерно у 100 финансовых организаций по всему миру. Об этом говорится в сообщении Европола. Личность арестованного не раскрывается.

К расследованию, которым руководила испанская полиция, были подключены Европол и ФБР США, белорусские, румынские и тайваньские власти, а также частные компании, занимающиеся информационной безопасностью. Как отмечается в сообщении Европола, основная сложность заключалась в том, что лидер группировки, ее программисты, перевозчики денег и жертвы хакеров находились в разных частях света.

Помимо предполагаемого главаря на Украине взят под стражу еще один участник группировки, сотрудничавший с ней как программист. О его задержании в Киеве сообщило украинское издание «Факты».

Русскоязычный след

Главного подозреваемого задержали в испанском городе Аликанте. Представитель Европола заявил РБК, что национальность задержанного лидера Cobalt ведомство назвать не может, однако отметил, что он из «русскоязычного мира».

Bloomberg со ссылкой на Министерство внутренних дел Испании сообщил, что это Денис К., украинец по национальности. По информации представителя российской компании Group-IB, специализирующейся в сфере кибербезопасности, лидер Cobalt — гражданин России (его имя и фамилия также не сообщаются). Он находился в Испании с 2014 года, что осложняло его задержание и проведение оперативных мероприятий.

Представитель посольства России в Мадриде не ответил на запрос РБК к моменту публикации.

По словам ведущего антивирусного эксперта «Лаборатории Касперского» Сергея Голованова, артефакты, оставленные во вредоносных файлах и на компьютерах жертв Cobalt (группировка действовала с помощью вредоносных программ Carbanak, Cobalt Strike и др.), свидетельствуют, что создатели кода владеют русским языком. А для атак в той или иной стране они брали в команду человека, говорящего на местном языке — тайском, китайском, чешском, испанском и т.д.

Голованов пояснил также, что личность арестованного обычно раскрывается в ходе судебных заседаний, если они будут открытыми. Наказание будет зависеть от юрисдикции, где будет рассматриваться дело. На данный момент в отчете Европола упоминается в этом качестве несколько стран, включая США и Испанию.

Повелители банкоматов

Cobalt начала свою деятельность в 2013 году, когда атаковала банкоматы и другую финансовую инфраструктуру с помощью вредоносного программного обеспечения Anunak. Позже софт был модифицирован, и появилась версия Carbanak, а после 2016 года было разработано еще более сложное ПО — Cobalt Strike. У всех атак было несколько общих черт. Хакеры рассылали сотрудникам финансовых организаций фишинговые письма с вредоносными вложениями. В случае если сотрудник скачивал вредную программу, преступники получали удаленный контроль не только над его компьютером, но и над всей внутренней сетью организации. После этого они отправляли команды определенным банкоматам, чтобы те начинали выдавать наличность в момент, когда рядом с ними будут члены группировки. Только за одну операцию хакеры могли украсть до €10 млн.

Фото: Koen van Weel / Reuters

Летом 2017 года специализирующаяся в области информационной безопасности компания Positive Technologies в своем отчете указала, что в первой половине 2016 года Cobalt разослала фишинговые письма с зараженными файлами в 250 компаний из 12 стран. К списку традиционных для Cobalt целей, находящихся в СНГ, Восточной Европе и Юго-Восточной Азии, добавились компании, расположенные в Северной Америке, Западной Европе и Южной Америке, в частности в Аргентине. В сфере интересов группировки были не только банки, но и биржи, страховые компании, инвестфонды и другие организации.

В декабре 2017 года с помощью софта Cobalt Strike в России была совершена первая атака на систему передачи финансовой информации SWIFT. Ее жертвой оказался банк «Глобэкс», подконтрольный Внешэкономбанку. Хакеры вывели сумму, эквивалентную $1 млн.

В феврале 2018 года зампред Банка России Дмитрий Скобелкин заявил, что из-за атак с помощью программы Cobalt Strike российские банки потеряли свыше 1,1 млрд руб. за прошлый год. «Всего за 2017 год было зарегистрировано не менее 21 волны атак Cobalt Strike. Атакам подверглись более 240 кредитных организаций, из них успешных атак было 11», — рассказывал он.

Как отмечают специалисты Group-IB, хакеры Cobalt постоянно тестируют новые инструменты и схемы, часто меняют локацию атак и хорошо знают, как работает банковский сектор. «После заражения компьютеров сотрудников в том или ином банке Cobalt ждет от двух до четырех недель для того, чтобы изучить внутреннюю инфраструктуру организации, наблюдает за рабочим процессом и только после этого проводит атаку. То есть атака готовится в течение длительного времени, что позволяет им выводить большие суммы денег», — говорится в сообщении компании.

Продолжение следует

По мнению технического директора Group-IB Дмитрия Волкова, несмотря на задержание лидера, члены группы Cobalt продолжат совершать вредоносные рассылки в банки России и Европы. «В некоторых случаях оставшиеся на воле преступники продолжают совершать атаки, чтобы показать, что задержанные не причастны к этой группе. Однако нам достоверно известно, что в Испании скрывался именно организатор, поэтому такие атаки скоро будут прекращены», — считает Волков. По его предположению, оставшиеся на свободе члены Cobalt могут создать новую преступную группу или присоединятся к другим.

«Свято место пусто не бывает: если исчезнет одна группировка, то с большой долей вероятности появится другая, которая возьмет инструментарий предыдущей и создаст свой. Например, Colbalt Strike может быть приобретена вполне легально для тестирования защищенности, но передана третьим лицам для использования в реальных атаках», — соглашается руководитель экспертного центра безопасности Positive Technologies Алексей Новиков.

Среди хакерских групп, представляющих наибольшую угрозу для банковского сектора, Волков назвал MoneyTaker, Silence и Lazarus. Согласно статистическим данным от Kaspersky Security Network, Cobalt организовала самую распределенную и массовую волну атак на финансовые институты в мире. На втором месте Lazarus, получившая известность после ограбления центрального банка Бангладеш.

Магазин исследований: аналитика по теме "Безопасность"