Фото из открытых источников

Хакерская группировка Cobalt, имеющая российские корни, в 2017 году значительно расширила сферу деятельности. Об этом пишет российское информационное агентство РБК со ссылкой на отчет компании Positive Technologies, специализирующейся в области информационной безопасности.

Согласно отчету, в первой половине 2017 года Cobalt разослала фишинговые письма, содержащие в себе зараженные файлы, более чем 3 тыс. получателей из 250 компаний в 12 странах мира. При этом к списку традиционных для Cobalt целей, находящихся в СНГ, странах Восточной Европы и Юго-Восточной Азии, добавились компании, расположенные в Северной Америке, Западной Европе и Южной Америке, в частности в Аргентине. В сфере интересов группировки теперь не только банки, но и биржи, страховые компании, инвестфонды и другие организации.

Новости по теме: Хакеры украли сценарий серии "Игры престолов", которую еще не презентовали зрителям

"Атаки на нефинансовые организации осуществляются с целью подготовки плацдарма для последующих атак на банки. К примеру, злоумышленники могут рассылать фишинговые письма от лица регулятора или партнера банка, для которого он предоставляет услуги", — пояснил РБК заместитель директора центра компетенции по экспертным сервисам Positive Technologies Алексей Новиков.

Также группировка массово отправляет фишинговые письма с поддельных доменов, имитирующие сообщения от Visa, MasterCard, центра реагирования на кибератаки в финансовой сфере Центрального банка России (FinCERT) и Национального банка Республики Казахстан, рассказали в Positive Technologies. Для этих целей Cobalt использовала как минимум 22 поддельных домена, имитирующих сайты крупных финансовых организаций и их контрагентов.

Новости по теме: В США к 5 годам тюрьмы приговорили российского хакера, нанесшего ущерб на сумму порядка 500 млн долларов

Типовая атака Cobalt состоит из нескольких этапов, рассказывает представитель Positive Technologies. Сначала регистрируются поддельные домены, якобы принадлежащие крупным компаниям, например Visa. Затем в адрес банков и их контрагентов проводится фишинговая рассылка, содержащая вредоносный файл, обычно документ Microsoft Word. После открытия этого вложения пользователем запускается программа, которая не дает системам антивирусной защиты среагировать на вирус. После чего загружается собственно троян, который позволяет организовать удаленный доступ к рабочему компьютеру сотрудника компании-жертвы. Далее злоумышленники могут либо развивать атаку внутри организации, либо отправить со взломанного рабочего стола письмо с аналогичным вредоносным софтом в другую организацию.

Ранее сообщалось о том, что хакеры, связанные с правительством РФ, атаковали ирландские энергосети. Хакеры посылали персоналу сообщения, в которых содержались вредоносные программы. Письма рассылались инженерам, имеющим доступ к системам контроля энергосистем. Целью злоумышленников было отключение части энергосистемы Северной Ирландии.