В минувшую пятницу российские банки подверглись массовой атаке — рассылке фишинговых писем, содержащих вредонос. В тот же день, 18 мая, они получили предупреждение от ФинЦЕРТ (подразделение ЦБ по кибербезопасности) об опасной рассылке. Проанализировав фишинговую рассылку, эксперты выявили, что данная атака с большой долей вероятности принадлежит группировке Cobalt, которая считалась грозой российских банков весь 2017 год и, как полагали многие специалисты, прекратила свое существование после задержания ее лидеров.

По данным Банка России, в 2017 году группировка совершила 240 попыток атак на кредитные организации, из которых успешными были 11. Общая сумма хищений составила 1,15 млрд рублей.

Как следует из сегодняшнего отчета Positive Technologies, прошедшая атака имеет ряд признаков, которые указывают на принадлежность атаки группировке Cobalt. По словам руководителя Центра экспертной оценки безопасности Positive Technologies Алексея Новикова, атакующая сейчас группировка имеет техники и тактики, схожие с нашумевшей группировкой Cobalt, или имеет в своем составе людей, так или иначе с ней связанных. Согласно отчету, использованный в данной рассылке домен был идентичен тем, что задействовала Cobalt. Кроме того, сильное сходство обнаружено в структуре вредоноса.

Собеседник в правоохранительных органах отметил, что есть и определенные различия. «Признаком работы группировки Cobalt было использование определенных компонентов, позволяющих производить управление атакованным компьютером, — отмечает собеседник.— Новый вирус их не использовал, в итоге атакованные банки быстро вычислили вредонос, хищений средств не было».

Эксперты сошлись во мнении, что реакция банков на новую угрозу в первую очередь должна касаться работы с персоналом — сотрудникам нужно напоминать о недопустимости открытия сомнительных писем. По словам Алексея Новикова, по статистике, 27% сотрудников компаний при получении письма с фишинговой ссылкой переходят по ней, специалисты информбезопасности делают это в 3% случаев.

Источник: Коммерсантъ