Банки лишились главной киберугрозы
Арест главы Cobalt даст передышку рынку на полгода
Хакерская группировка Cobalt, атаковавшая в 2017 году 11 российских банков и похитившая у них 1,5 млрд руб., обезглавлена. Лидер группировки, имеющий российское гражданство, был задержан в понедельник в Испании. Эксперты в сфере информационной безопасности уверены, что в связи с этим на определенное время кредитные организации будут избавлены от атак группировки, однако примерно через полгода атаки возобновятся.
В понедельник был задержан лидер хакерской группировки Cobalt (ФИО задержанного в интересах следствия не разглашается) в испанском городе Аликанте. Об этом сообщили в Европейском полицейском агентстве (Европол). Как рассказал “Ъ” технический директор Group-IB Дмитрий Волков, по их данным лидер Cobalt — россиянин, который находился в Испании с 2014 года. Также был задержан программист группировки. Согласно сообщению киберполиции Украины, 30-летний киевлянин является членом группировки с 2016 года, в его обязанности входили разработка и поддержка надлежащей работы вредоносов, которые использовали уязвимости в наиболее распространенных программных продуктах.
Как следует из сообщения Европола, Cobalt ограбила свыше 100 банков более чем в 40 странах, а общий ущерб индустрии достиг €1 млрд. «Масштаб потерь был крайне значительным,— отметили в Европоле.— Например, программа Cobalt позволяла преступникам красть за раз до €10 млн». В Банке России называли Cobalt главной угрозой кибербезопасности российских банков в прошлом году (см. “Ъ” от 16 марта). В 2017 году группировка похитила деньги из 11 российских банков, суммарный ущерб составил 1,5 млрд руб. Наиболее крупное хищение в России — 400 млн руб. из банка «Союз».
До сих пор правоохранителям не удавалось поймать значимых членов группировки Cobalt. «Ранее задерживались только дропперы (лица, которые привлекаются злоумышленниками для снятия средств через банкоматы) или же рядовые члены»,— рассказал собеседник “Ъ” в правоохранительных органах.
Несмотря на арест лидера, атаки на банки мгновенно не прекратились. «26 марта мы зафиксировали рассылку вредоносного ПО в стиле группировки Cobalt»,— рассказывает руководитель экспертного центра безопасности Positive Technologies Алексей Новиков. Но это лишь агония, уверены эксперты. «Возможно, атака была совершена, чтобы показать, что задержанные люди непричастны к группе, подобные прецеденты уже были,— отмечает технический директор Group-IB Дмитрий Волков.— Но нам достоверно известно, что в Испании скрывался именно организатор, поэтому такие атаки скоро будут прекращены». По словам собеседника “Ъ” в правоохранительных органах, организатор замыкал на себе все контакты между членами группировки, пока эти контакты не будут восстановлены и связи внутри не налажены, хищений не будет.
Однако это вовсе не означает, что угроза миновала вовсе. «Опыт показывает, что рано или поздно осколки группировки организуются в новую организацию (или втянутся в уже существующую), которая будет действовать схожим образом или будет использовать уже обкатанные наработки, модифицируя их»,— рассуждает Алексей Новиков. По оценкам собеседника “Ъ” в правоохранительных органах, затишье в связи с задержанием организатора Cobalt может продлиться около полугода.
В банках рады грядущей передышке и намерены использовать ее для усиления киберзащиты. «На смену одним злоумышленникам придут другие, которые будут использовать те же походы и вредонос, что и Cobalt, нас ожидает не более чем небольшое затишье»,— отметил глава управления информбезопасности ОТП-банка Сергей Чернокозинский. «Если Cobalt был так успешен, никто не мешает другим на основании имеющихся исходников кода сделать подобие,— соглашается начальник управления информационной безопасности Златкомбанка Александр Виноградов.— Поэтому банкам необходимо готовиться к новым атакам и усиливать системы защиты».
Кроме того, есть мнение, что сейчас далеко не все приписываемые Cobalt атаки принадлежат этой группировке, значит, угроза лишь частично снята. «Как Cobalt Strike, так и прочие инструменты, которые используются в ходе атак, можно купить на специализированных форумах, в том числе и как услугу,— рассуждает операционный директор центра по мониторингу и реагирования на кибератаки Solar JSOC Антон Юдаков.— Нельзя однозначно утверждать, что все приписываемые группировке атаки действительно совершены именно ею, а это значит, что на нынешнем новостном фоне можно ожидать лишь сокращения их числа». По его словам, есть мнение, что члены группировки Cobalt — это выходцы из других команд киберпреступников, ранее прошедших путь от многочисленных успешных атак до ареста. Таким образом, очевидно, что рано или поздно Cobalt восстановится и продолжит свою деятельность, возможно, уже под другим именем, заключает эксперт.