Хакерскую группировку Cobalt, атаковавшую в прошлом году 11 российских банков и похитившую у них 1,5 млрд руб., наконец, обезглавили. Лидера группировки, имеющего российское гражданство, в понедельник задержали в Испании. По мнению экспертов в сфере информбезопасности, благодаря задержанию главаря хакерской группировки какое-то время банкам не будут грозить ее атаки, но примерно через полгода возможно их возобновление.
26 марта Европейское полицейское агентство (Европол) сообщило о задержании лидера киберпреступной группировки Cobalt. По словам технического директора Group-IB Дмитрия Волкова, по их данным лидер Cobalt является россиянином, находившимся в Испании еще с 2014 года. Также полиция задержала программиста группировки. Как сообщила украинская киберполиция, 30-летний уроженец Киева с 2016 года числился в группировке, он разрабатывал и поддерживал надлежащую работу вредоносов, использующих уязвимости в тех программных продуктах, которые получили широкое распространение.
Как сообщил Европол, Cobalt было ограблено более 100 банков как минимум 40 стран, суммарный объем ущербе индустрии оценивается в €1 млрд, масштаб потерь крайне значителен. К примеру, с помощью одной программы Cobalt преступники за раз могли украсть до €10 млн. Банк России определил Cobalt как главную угрозу кибербезопасности банков страны в 2017 году, в течение которого киберворы смогли украсть деньги из 11 банков, потерявших в целом 1,5 млрд руб. Среди самых крупных хищений в России — 400 млн руб., принадлежавших банку «Союз».
Прежде все попытки правоохранителей поймать значимых фигур группировки Cobalt оставались безуспешными. Задерживали только дропперов (лиц, которых привлекают злоумышленники для того, чтобы они снимали средства через банкоматы) или же рядовых членов.
Арест лидера не прекратил атак на банки. По словам руководителя экспертного центра безопасности Positive Technologies Алексея Новикова, 26 марта была зафиксирована рассылка вредоносного ПО в духе Cobalt. Но это, по мнению экспертов, больше похоже на агонию. По словам технического директора Group-IB Дмитрия Волкова, быть может, эту атаку совершили, чтобы показать непричастность задержанных люд к группировке, такого рода прецеденты уже имели место. Но мы достоверно знаем о попытках скрыться в Испании именно организатора, поэтому такие атаки в скором времени прекратятся. Как считает источник из правоохранительных органов, на организаторе замыкались все контакты между членами группировки, и при невозможности восстановления и налаживания этих контактов и связей внутри, хищения вряд ли возможны.
Впрочем, это вовсе не означает, что угрозы теперь нет. По словам Алексея Новикова, судя по опыту, рано или поздно из осколков группировки будет создана новая организация (или оставшиеся члены прежней чтанут участвовать в уже существующей), действующая схожими методами или с использованием уже обкатанных, но модицифированных наработок. Затишье из-за задержания организатора Cobalt, возможно, продлится примерно полгода.
Банки обрадовала грядущая передышка и они собираются использовать ее, чтобы усилить киберзащиту. По мнению главы управления информбезопасности ОТП-банка Сергея Чернокозинского, одних злоумышленникоы сменят другие, пользующиеся теми же подходами и вредоносами, что и Cobalt, затишье если и будет, то кратковременным. По словам начальника управления информбезопасности Златкомбанка Александра Виноградова, так как группировка Cobalt продемонстрировала высокую успешность, ничто не помешает и другой кибергруппировке, имея исходники кода делать что-то подобное. Поэтому банки должны использовать образовавшийся временной люфт для подготовки к новым атакам и усиления защитных систем.
К тому же есть мнение, что далеко не все отнесенные экспертами к Cobalt атаки, совершила эта группировка, значит, угрозу можно считать снятой, но только частично. По словам операционного директора центра по мониторингу и реагирования на кибератаки Solar JSOC Антона Юдакова, и Cobalt Strike, и прочие инструменты, используемые при кибератаках, продаются на специализированных форумах, в том числе и в виде услуги. Нельзя 100%-но утверждать, что все совершенные атаки - дело рук членов группировки, а это значит, что нынешний новостной фон всего лишь сократит их число. Эксперты полагают, что группировка Cobalt представлена выходцами из других хакерских групп, ранее много и успешно атаковавших банки и рядовых граждан, и уже побывавших арестованными. Понятно, что восстановление Cobalt - дело времени и, возможно, ее деятельность будет продолжена, но мы услышим уже другое имя.
