ЦБ: Хакеры из группы Cobalt похитили больше 1 млрд рублей у российских банков в 2017 году Статьи редакции

Всего атакам подверглись больше 240 банков.

В 2017 году хакеры преступной группы Cobalt похитили у российских банков 1,16 млрд рублей. Об этом на десятом Уральском форуме «Информационная безопасность финансовой сферы» рассказал зампред ЦБ Дмитрий Скобелкин, передаёт «Интерфакс».

За год регулятор зафиксировал 21 волну атак Cobalt более чем на 240 банков. По словам Скобелкина, успешными были 11 атак. Восемь пострадавших организаций были участниками информационного обмена с FinCert — подразделением ЦБ, которое занимается мониторингом и реагированием на компьютерные атаки в кредитно-финансовой сфере.

Для предотвращения потерь FinCert в 2017 году разослал индивидуальные предупреждения более чем 400 банкам, указав конкретные электронные адреса, с которых поступали письма группы Cobalt, добавил Скобелкин.

Общую статистику хищений в банках за 2017 год ЦБ пока не раскрыл.

Первая атака группы Cobalt была зафиксирована в России в июне 2016 году, говорится в материалах компании Group-IB, которая занимается предотвращением и расследованием киберпреступлений.

Сначала целью группы Cobalt было опустошение банкоматов: на них запускалась программа, напрямую отправляющая команды на выдачу наличных.

Потом группа стала атаковать любые системы финансовых организаций, в которых имелись деньги: карточный процессинг, платёжные системы, SWIFT и прочие.

Group-IB

Cobalt всегда проводит атаки по одному и тому же шаблону, используя для проникновения в сеть организации-жертвы электронную почту, говорится в отчёте Group-IB.

Злоумышленники проводят массовую рассылку по 10-40 сотрудникам организации, каждое письмо содержит вложение, которое загружает в оперативную память компьютера ПО Cobalt Strike. Программа собирает реквизиты доступа к центральным серверам и пароли администраторов, необходимые для доступа к системам управления и выполнения операций.

Cobalt выбирает темы писем и имена вложения так, чтобы получатели захотели их открыть

Получив доступ к такой системе, злоумышленники изучают алгоритм формирования платежных рейсов, и он повторяется «вручную». При этом сами сервисы или системы не взламываются, обеспечивается доступ в сеть организации, а далее – к соответствующим серверам систем.

По данным ЦБ, в 2016 году хакеры пытались украсть у банков 2,18 млрд рублей. Мошенникам удалось вывести 1,5 млрд рублей, остальные средства были заблокированы.

0
39 комментариев
Написать комментарий...
Дмитрий Кащеев

Эммм... у Cobalt есть программа для стажёров?

Ответить
Развернуть ветку
Слон Петрович

Программа работает для всех одинаково, запускайте.

Ответить
Развернуть ветку
Yuri

Удобная статья для "списания". Норм, чо.

Ответить
Развернуть ветку
Stas Sokolov

Тоже про это подумал. давайте свалим на каких то там хакеров попизженные деньги.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Артём Лисовский

а как ещё из кассы вытащить?

Ответить
Развернуть ветку
Ruslan Almazov

Красавцы, всегда восхищался такими людьми. Конечно воровать плохо, но они показывают отличный пример целеустремленности, достижения своих целей, несмотря на преграды.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Denis Bystruev

А вы говорите, Биткоины воруют...

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Денис Мельник
Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Nikolay Net

скачав вложение и открыв его = ты в игре!

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
TheEntze

Что удивительного? Есть уязвимости, позволяющие выполняться коду при открытии.

Ответить
Развернуть ветку
Ilya Lapenkov

При открытии письма на почте - точно нет! А вот при запуске скаченного файлика, в оперативку, вполне.

Ответить
Развернуть ветку
Mihael Isaev

в банках все поголовно через outlook сидят и вложения открывают сразу на своем компе

Ответить
Развернуть ветку
TheEntze

Ещё раз - без запуска файла. Давно уже не нужно ничего запускать. Достаточно зайти на сайт, открыть письмо или документ.

Ответить
Развернуть ветку
Ilya Lapenkov

Можете дать ссылку на использование уязвимостей, позволяющих исполнить код открытием письма (в любом менеджере электронной почты) или заходом на сайт?

Ответить
Развернуть ветку
TheEntze

Десятки, если не сотни их. Есть эксплоит паки, загружаемые на страницу и заражающие посетителей через уязвимости браузера, flash, java. Есть конструкторы для навешивания вредоносной нагрузки на PDF.

Вот старое, но все ещё актуальное - https://m.gazeta.ru/tech/2015/10/05/7796039/android_infected.shtml

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Serge Arsentiev

Схема такова, что если некто управляет "чужими" деньгами - то для него (нее) это не деньги, а циферки в табличках, соответственно и отношение такое же - знакомое всем админам - "ой, посмотри что тут у меня, я ничего не делалал, а оно само"
 
Я с бухгалтерами общался в свое время - говорю - как Вы можете с утра до вечера вносить миллионы в документы, при этом получая зарплату на порядки меньше? А они такие - ну я отключаюсь и стараюсь только в количестве нулей не ошибиться, пересчитываю их всегда.

Ответить
Развернуть ветку
Vadim M

Я думаю, стоит попробовать ввести на VC лимит на комменты хотя бы в сутки. В каждой новости видеть обязательный пост от Арсентьева уже утомляет :)

Ответить
Развернуть ветку
Serge Arsentiev

И если бы только один ... а так - контакты админов внизу, администрация открыта к предложениям. В частности, появилась кнопка "Пожаловаться" (ура) на комментах.
 
Если будете писать, пожалуйста попросите еще опцию "скрывать прочитанное" - прежде всего прочитанные новости - очень затрудняет работу с лентой, забываешь где уже оставил пахучую метку, а где еще нет :(

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Serge Arsentiev

Ну или свой список игнора настраивать (чьи комменты не показывать, вот например мои :) - а также настраивать 2-3 "друзей" - комменты которых за день позволяют понять что было интересного, иногда больше чем сами заметки.
...
Ну и конечно лички (Private Messages, PM), проекту очень не хватает - да и норм. профилей пользователей.
Очень много вопросов сняло бы наличие норм. инфы в профиле, а уж если "Профиль подтвержден" (хотя бы по мобилке), то и совсем другое отношение к тому что написано - сразу видно, бот или реальный человек.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Serge Arsentiev

Я не знаю насчет допов, но какой-то рейтинг (+++/кол-во комментов), наверное все-таки необходим. У меня сейчас +0.76, у кого-то, кто дал, например 5 комментов и собрал 200 плюсов - будет, например +40.
А у кого-то 0.00 :)

Ответить
Развернуть ветку
Vadim M

«Затрудняет работу с лентой»

- судя по постоянному отписыванию в комментариях под каждой новостью, это Ваша единственная работа, поэтому ничего страшного, не перетрудитесь😂

Ответить
Развернуть ветку
Serge Arsentiev

Ну я мог бы успевать больше :)

Ответить
Развернуть ветку
TheEntze

Да, ботом заходят по RDP и меняют получателей платежа. Даже 2FA не поможет, потому что достаточно подменить при отправке.

Ответить
Развернуть ветку
Руслан Киямов

Реклама Group-IB?

Ответить
Развернуть ветку
Растин J.

то же самое что увидеть в заголовке New York Times "фашисты напали на ссср"
и сказать: "это реклама газеты ?"

Ответить
Развернуть ветку
Руслан Киямов

Ничего себе, какой вы фантазер)))

Ответить
Развернуть ветку
Oleg Letov

некоторые считают, что Group-IB = Group Cobalt

Ответить
Развернуть ветку
Serge Arsentiev

Ну я уж не знаю глубину взаимного проникновения, но некоторые моменты в этом интервью и вправду заставляли задуматься
https://vc.ru/31596-masshtab-protivostoyaniya-mezhdu-gosudarstvami-v-elektronnom-formate-silno-preuvelichen
 
Там как-то по принципу - приходят белые, грабят, приходят красные - снова грабят, куда крестьянину податься.. Одни взламывают и списывают (но больше просто воруют, плохо планируя процесс), а другие за большие деньги проводят аудит системы, и иногда даже находят куда и кому ушли деньги (но вернуть их уже никак).

Ответить
Развернуть ветку
Isaevski Andry

А нет ли здесь рекламы сталинизма? Иосиф веди был Coba :)

Ответить
Развернуть ветку
Александр Кудин

Большинство хороших хакеров под колпаком у государства, видимо это заграничные хакеры были.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Евгений Юрьевич

Это ж для предвыборной компании Трампа украли, вмешательство в выборы ж 😂

Ответить
Развернуть ветку
Илья Бычков

Чёт бред какой- то.
Прям больше подходит на сюжет из фильма «Кто Я» про хакеров.
Там точно такая же схема)

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Serge Arsentiev

Вы не совсем правы, но подобного рода публикации (Украли 100500 миллиардов), кладутся в папочку и приносятся с планом мероприятий по предотвращению .. который может тянуть на многие миллионы заказов, поставок, пусконаладки.
При которых кому-то придется выбирать поставщиков :)

Ответить
Развернуть ветку
36 комментариев
Раскрывать всегда