Потери российских банков от атак Cobalt Strike составили 1,1 млрд руб.

Заместитель председателя Банка России Дмитрий Скобелкин сообщил, что потери российских банков от хакерских атак с помощью программы Cobalt Strike в 2017 г. составили 1,1 млрд руб. Об этом замглавы ЦБ РФ сказал на Уральском форуме «Информационная безопасность финансовой сферы».

«Всего за 2017 год было зарегистрировано не менее 21 волны атак Cobalt Strike. Атакам подверглись более 240 кредитных организаций, из них успешных атак было 11», — рассказал Дмитрий Скобелкин.

Как сообщается в отчете за первое полугодие 2017 г. Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России (ФинЦЕРТ), основным трендом стало использование Cobalt Strike — программы, обеспечивающей злоумышленникам удаленный доступ к банкоматам и передачу на них приказа на выдачу денег.

Дмитрий Скобелкин рассказал, что в 2017 г. ФинЦЕРТ направил индивидуальные предупреждения более чем в 400 банков, указав конкретные почтовые адреса организаций, на которые поступали электронные письма хакерской группы Cobalt.

Ранее представители Центробанка сообщали, что российские банки подвергаются кибератакам два-три раза в неделю, при этом  Cobalt Strike является самым используемым вирусом. Для проникновения в системы банка группировка Cobalt, как правило, рассылает сотрудникам финансовой организации письма с вложенным файлом, которые получатели могут принять за служебную переписку или личную корреспонденцию. При открытии вложения в системе автоматически запускалась вредоносная программа, с помощью которой мошенники получали доступ к информационным системам интересующей их организации.

«Вредоносное программное обеспечение используется для закрепления в системах, заражения новых компьютеров, проведения мошеннических транзакций. Наиболее громкая волна атак на банки была зафиксирована в 2014 г., когда группа злоумышленников атаковала российские банки с помощью вредоносной программы Carbanak, для работы которой была необходима определенная инфраструктура — сетевые адреса. Представители группировки Carbanak использовали приемы социальной инженерии, а также адресную фишинговую рассылку, например, об изменении контактных данных, содержавшую вложение в формате CPL; в других случаях заражения использовались документы Word с внедренными в них эксплойтами (компьютерная программа, использующая уязвимости в программном обеспечении для известных уязвимостей)», — рассказал ведущий антивирусный эксперт «Лаборатории Касперского» Сергей Голованов в интервью агентству РБК.