Мошенники атакуют банки через контрагентов
Фишинговые письма по-прежнему остаются популярным методом проникновения злоумышленников в информационную инфраструктуру банков. Но если раньше злоумышленники использовали письма с поддельным адресом отправителя, то теперь активно атакуют поставщиков и партнеров, чтобы использовать взломанные учетные записи реальных сотрудников для развития атаки на финансовые организации. Кроме того, злоумышленники присылают вредоносные файлы под видом предупреждений Центробанка, и атакуют личные почтовые ящики сотрудников банков, а не только их рабочие адреса.
Такие наблюдения содержатся в новом отчете компании Positive Technologies, посвященном деятельности преступной группы Cobalt. Группа известна с 2016 года, когда она атаковала ряд банков СНГ и Восточной Европы. Атаки Cobalt начинаются с целевой рассылки фишинговых писем сотрудникам банка. Когда сотрудник открывает вредоносное вложение, его компьютер заражается, а затем атака распространяется внутри сети банка, вплоть до систем управления банкоматами. Заражение банкоматов, в свою очередь, позволяет злоумышленникам похищать из них крупные суммы денег.
Деятельность группы была разоблачена в 2016 году благодаря расследованиям, в которых принимали участие в том числе и эксперты Positive Technologies. По их результатам FinCERT России начал активно предупреждать кредитно-финансовые организации об активности группы Cobalt. Однако это не остановило злоумышленников: в ответ на защитные меры они стали использовать более изощренные методы атак. Вот некоторые особенности деятельности Cobalt, выявленные экспертами Positive Technologies в 2017 году:
· Поддельные домены. Когда большую часть фишинговых писем с подделанным адресом отправителя стали блокировать спам-фильтры, злоумышленники начали активнее использовать поддельные домены, схожие по написанию с адресами реальных организаций. На сегодняшний день в результате совместной работы экспертов Positive Technologies и отраслевых регуляторов все фишинговые домены, выявленные в зоне .ru, и большая часть доменов в других зонах, сняты с делегирования;
· Атаки через контрагентов. В 2017 году группа Cobalt стала активно атаковать различные компании, сотрудничающие с банками, а затем рассылать фишинговые письма из инфраструктур атакованных организаций с использованием учетных записей и почтовых адресов их сотрудников. Такой подход обеспечивает высокий уровень доверия к отправителю. Успешности атак способствует и тематика писем: в начале 2017 года 60% фишинговых писем от группы Cobalt были посвящены условиями сотрудничества между банками и их контрагентами;
· Расширение географии атак. В 2017 году к списку традиционных целей Cobalt в странах СНГ, Восточной Европы и Юго-Восточной Азии, добавились компании, расположенные в Западной Европе, а также в Северной и Южной Америке. При этом 75% компаний в фишинговой рассылке связаны с финансами, а оставшиеся 25% относятся к другим сферам (государственные организации, телекомы, услуги и развлечения, и др). Очевидно, их атакуют, чтобы использовать в качестве промежуточного звена;
· Рассылки от имени регуляторов по теме информационной безопасности. Подобные письма злоумышленники рассылали с поддельных доменов, в том числе от лица платежных систем VISA и Mastercard, FinCERT Центрального Банка России и Национального Банка Республики Казахстан;
· Рассылки на личные адреса сотрудников организаций, а не только на корпоративные почтовые ящики. При этом рассылки проводятся таким образом, чтобы письма доставлялись в рабочее время получателей. Таким образом, даже просматривая личную почту, пользователь скорее всего заразит офисный компьютер;
· Использование последней версии Microsoft Word Intruder 8 для создания документов, эксплуатирующих уязвимость CVE-2017-0199. Группа Cobalt в числе первых получила доступ к ограниченной версии экплойт-билдера MWI, что позволяет предположить связь между злоумышленниками и разработчиком данного экплойт-билдера.
Авторы исследования отмечают, что на данный момент нет возможности достоверно оценить фактические убытки компаний от деятельности группы Cobalt в 2017 году ? однако, исходя из масштабов деятельности группы по всему миру, нельзя исключить серьезные последствия для финансовых организаций в ближайшем будущем.
Смотреть все статьи по теме "Информационная безопасность"
Источник: Пресс-служба компании Positive Technologies
Опубликовано 04.08.2017