Финансы Albert Khabibrakhimov
4 404

ЦБ: Хакеры из группы Cobalt похитили больше 1 млрд рублей у российских банков в 2017 году

Всего атакам подверглись больше 240 банков.

В закладки

В 2017 году хакеры преступной группы Cobalt похитили у российских банков 1,16 млрд рублей. Об этом на десятом Уральском форуме «Информационная безопасность финансовой сферы» рассказал зампред ЦБ Дмитрий Скобелкин, передаёт «Интерфакс».

За год регулятор зафиксировал 21 волну атак Cobalt более чем на 240 банков. По словам Скобелкина, успешными были 11 атак. Восемь пострадавших организаций были участниками информационного обмена с FinCert — подразделением ЦБ, которое занимается мониторингом и реагированием на компьютерные атаки в кредитно-финансовой сфере.

Для предотвращения потерь FinCert в 2017 году разослал индивидуальные предупреждения более чем 400 банкам, указав конкретные электронные адреса, с которых поступали письма группы Cobalt, добавил Скобелкин.

Общую статистику хищений в банках за 2017 год ЦБ пока не раскрыл.

Первая атака группы Cobalt была зафиксирована в России в июне 2016 году, говорится в материалах компании Group-IB, которая занимается предотвращением и расследованием киберпреступлений.

Сначала целью группы Cobalt было опустошение банкоматов: на них запускалась программа, напрямую отправляющая команды на выдачу наличных.

Потом группа стала атаковать любые системы финансовых организаций, в которых имелись деньги: карточный процессинг, платёжные системы, SWIFT и прочие.

Group-IB

Cobalt всегда проводит атаки по одному и тому же шаблону, используя для проникновения в сеть организации-жертвы электронную почту, говорится в отчёте Group-IB.

Злоумышленники проводят массовую рассылку по 10-40 сотрудникам организации, каждое письмо содержит вложение, которое загружает в оперативную память компьютера ПО Cobalt Strike. Программа собирает реквизиты доступа к центральным серверам и пароли администраторов, необходимые для доступа к системам управления и выполнения операций.

Cobalt выбирает темы писем и имена вложения так, чтобы получатели захотели их открыть

Получив доступ к такой системе, злоумышленники изучают алгоритм формирования платежных рейсов, и он повторяется «вручную». При этом сами сервисы или системы не взламываются, обеспечивается доступ в сеть организации, а далее – к соответствующим серверам систем.

По данным ЦБ, в 2016 году хакеры пытались украсть у банков 2,18 млрд рублей. Мошенникам удалось вывести 1,5 млрд рублей, остальные средства были заблокированы.

#новость #банки

{ "author_name": "Albert Khabibrakhimov", "author_type": "editor", "tags": ["\u043d\u043e\u0432\u043e\u0441\u0442\u044c","\u043d\u043e\u0432\u043e\u0441\u0442\u0438","\u0431\u0430\u043d\u043a\u0438"], "comments": 45, "likes": 25, "favorites": 1, "is_advertisement": false, "subsite_label": "finance", "id": 33223, "is_wide": false, "is_ugc": false, "date": "Tue, 13 Feb 2018 12:07:46 +0300" }
{ "id": 33223, "author_id": 53259, "diff_limit": 1000, "urls": {"diff":"\/comments\/33223\/get","add":"\/comments\/33223\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/33223"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 199119 }

45 комментариев 45 комм.

Популярные

По порядку

Написать комментарий...
18

Эммм... у Cobalt есть программа для стажёров?

Ответить
10

Программа работает для всех одинаково, запускайте.

Ответить
15

Удобная статья для "списания". Норм, чо.

Ответить
11

Тоже про это подумал. давайте свалим на каких то там хакеров попизженные деньги.

Ответить

Комментарий удален

1

а как ещё из кассы вытащить?

Ответить
8

Красавцы, всегда восхищался такими людьми. Конечно воровать плохо, но они показывают отличный пример целеустремленности, достижения своих целей, несмотря на преграды.

Ответить
1

Где-то читал, правда не помню где и достоверен ли источник, но большинство взломов банков -- работа в команде с инсайдером/кротом.

Ответить
2

А вы говорите, Биткоины воруют...

Ответить

Комментарий удален

Комментарий удален

1

Да, там было написано, что это секретное сообщение, которое активирует отправку халявных 1000 рублей на телефон, нужно лишь написать в ответном сообщении свой пароль.

Ответить
1

скачав вложение и открыв его = ты в игре!

Ответить
0

7 дней *шепотом*

Ответить
0

Что удивительного? Есть уязвимости, позволяющие выполняться коду при открытии.

Ответить
0

При открытии письма на почте - точно нет! А вот при запуске скаченного файлика, в оперативку, вполне.

Ответить
0

в банках все поголовно через outlook сидят и вложения открывают сразу на своем компе

Ответить
0

Ещё раз - без запуска файла. Давно уже не нужно ничего запускать. Достаточно зайти на сайт, открыть письмо или документ.

Ответить
0

Можете дать ссылку на использование уязвимостей, позволяющих исполнить код открытием письма (в любом менеджере электронной почты) или заходом на сайт?

Ответить
0

Десятки, если не сотни их. Есть эксплоит паки, загружаемые на страницу и заражающие посетителей через уязвимости браузера, flash, java. Есть конструкторы для навешивания вредоносной нагрузки на PDF.

Вот старое, но все ещё актуальное - https://m.gazeta.ru/tech/2015/10/05/7796039/android_infected.shtml

Ответить

Комментарий удален

–1

Схема такова, что если некто управляет "чужими" деньгами - то для него (нее) это не деньги, а циферки в табличках, соответственно и отношение такое же - знакомое всем админам - "ой, посмотри что тут у меня, я ничего не делалал, а оно само"
 
Я с бухгалтерами общался в свое время - говорю - как Вы можете с утра до вечера вносить миллионы в документы, при этом получая зарплату на порядки меньше? А они такие - ну я отключаюсь и стараюсь только в количестве нулей не ошибиться, пересчитываю их всегда.

Ответить
2

Я думаю, стоит попробовать ввести на VC лимит на комменты хотя бы в сутки. В каждой новости видеть обязательный пост от Арсентьева уже утомляет :)

Ответить
3

И если бы только один ... а так - контакты админов внизу, администрация открыта к предложениям. В частности, появилась кнопка "Пожаловаться" (ура) на комментах.
 
Если будете писать, пожалуйста попросите еще опцию "скрывать прочитанное" - прежде всего прочитанные новости - очень затрудняет работу с лентой, забываешь где уже оставил пахучую метку, а где еще нет :(

Ответить
2

Еще и чтобы как в живом журнале заминусованные комментарии сворачивались

Ответить
0

Ну или свой список игнора настраивать (чьи комменты не показывать, вот например мои :) - а также настраивать 2-3 "друзей" - комменты которых за день позволяют понять что было интересного, иногда больше чем сами заметки.
...
Ну и конечно лички (Private Messages, PM), проекту очень не хватает - да и норм. профилей пользователей.
Очень много вопросов сняло бы наличие норм. инфы в профиле, а уж если "Профиль подтвержден" (хотя бы по мобилке), то и совсем другое отношение к тому что написано - сразу видно, бот или реальный человек.

Ответить
0

Ага, и потом добавится стена, фотографии, музыка ... тип-топ получился свой ВК :-)

Ответить
0

Я не знаю насчет допов, но какой-то рейтинг (+++/кол-во комментов), наверное все-таки необходим. У меня сейчас +0.76, у кого-то, кто дал, например 5 комментов и собрал 200 плюсов - будет, например +40.
А у кого-то 0.00 :)

Ответить
0

«Затрудняет работу с лентой»

- судя по постоянному отписыванию в комментариях под каждой новостью, это Ваша единственная работа, поэтому ничего страшного, не перетрудитесь😂

Ответить
1

Ну я мог бы успевать больше :)

Ответить
0

Да, ботом заходят по RDP и меняют получателей платежа. Даже 2FA не поможет, потому что достаточно подменить при отправке.

Ответить
–1

Реклама Group-IB?

Ответить
0

то же самое что увидеть в заголовке New York Times "фашисты напали на ссср"
и сказать: "это реклама газеты ?"

Ответить
0

Ничего себе, какой вы фантазер)))

Ответить
0

некоторые считают, что Group-IB = Group Cobalt

Ответить
0

Ну я уж не знаю глубину взаимного проникновения, но некоторые моменты в этом интервью и вправду заставляли задуматься
https://vc.ru/31596-masshtab-protivostoyaniya-mezhdu-gosudarstvami-v-elektronnom-formate-silno-preuvelichen
 
Там как-то по принципу - приходят белые, грабят, приходят красные - снова грабят, куда крестьянину податься.. Одни взламывают и списывают (но больше просто воруют, плохо планируя процесс), а другие за большие деньги проводят аудит системы, и иногда даже находят куда и кому ушли деньги (но вернуть их уже никак).

Ответить
0

А нет ли здесь рекламы сталинизма? Иосиф веди был Coba :)

Ответить
0

Большинство хороших хакеров под колпаком у государства, видимо это заграничные хакеры были.

Ответить

Комментарий удален

0

Это ж для предвыборной компании Трампа украли, вмешательство в выборы ж 😂

Ответить
0

Чёт бред какой- то.
Прям больше подходит на сюжет из фильма «Кто Я» про хакеров.
Там точно такая же схема)

Ответить

Комментарий удален

Комментарий удален

Комментарий удален

0

ну миллион чеб не стырить, когда хакеры миллиардами ворочат

Ответить
0

Вы не совсем правы, но подобного рода публикации (Украли 100500 миллиардов), кладутся в папочку и приносятся с планом мероприятий по предотвращению .. который может тянуть на многие миллионы заказов, поставок, пусконаладки.
При которых кому-то придется выбирать поставщиков :)

Ответить
0

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "bscsh", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223676-0", "render_to": "inpage_VI-223676-0-1104503429", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=bugf&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudx", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byzqf", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvc" } } }, { "id": 19, "label": "Тизер на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "p1": "cbltd", "p2": "gazs" } } } ]
Хакеры смогли обойти двухфакторную
авторизацию с помощью уговоров
Подписаться на push-уведомления