Архивы публикаций
Август 2024 (2)
Июнь 2024 (1)
Май 2024 (1)
Апрель 2024 (1)
Февраль 2024 (1)
Октябрь 2023 (1)
19 Feb 2018, 17:31Экономика

С помощью программы Cobalt Strike мошенники украли у российских банков 1,2 млрд рублей

С помощью программы Cobalt Strike мошенники украли у российских банков 1,2 млрд рублей

В 2017 году на российские банки была совершена 21 атака с помощью программы Cobalt Strike, из них 11 оказались успешными. Под удар попало 240 кредитных организаций, из которых преступникам удалось похитить 1,156 млрд рублей. Как пишет Threatpost, об этом сообщил зампред Центробанка Дмитрий Скобелкин на Уральском форуме «Информационная безопасность финансовой сферы».

Изначально программа Cobalt Strike предназначена для проведения тестов на проникновение. В ее состав входит многофункциональный троян Beacon, который является основной «полезной нагрузкой» и предоставляет широкие возможности по удаленному управлению системами. Злоумышленники используют его для установки в банкоматы программы, которая взаимодействует с их XFS-фреймворком и дает команду выдать наличные.

Программа Cobalt Strike дала название группировке Cobalt, которая известна с 2016 года и специализируется на кибератаках на банки, биржи, страховые компании и инвестиционные фонды с целью кражи денег. Под удар попадают также поставщики и контрагенты финансовых организаций: их инфраструктуру и учетные записи реальных сотрудников преступники используют для рассылки фишинговых писем. Такой подход обеспечивает высокий уровень доверия получателей и помогает избежать блокировки системами фильтрации на почтовых серверах.

Кибермошенники используют не вызывающие подозрений темы писем, содержание и названия вложений: «Порядок определения размера пени», «Счет за обслуживание ваших банкоматов», «Документы на подпись», «Сверка балансов». Рассылаемые письма содержат те или иные вредоносные вложения: документ с эксплойтом (.doc,.rtf,.xls), архив с исполняемым файлом дроппера (.exe,.scr), архив с LNK-файлом.

Для того чтобы наличие зловреда в сети не было выявлено сразу, преступники действуют преимущественно в ночное время, подчищают за собой следы, удаляя данные, а также активно используют для внедрения и распространения легальные программы: Ammyy Admin, TeamViewer, Mimikatz, PsExec, SoftPerfect Network Scanner. Иногда сотрудники сами помогают злоумышленникам, отключая антивирус.