Максимально актуальным для финансовой сферы считают в Центральном банке России использование злоумышленниками Cobalt Strike. Так называется вредоносное программное обеспечение для захвата денег кредитной организации, с помощью которой действует хакерская группа Cobalt.
Как отмечал заместитель начальника главного управления безопасности и защиты информации Банка России Артем Сычев, ранее активность Cobalt Strike резко упала, что может означать подготовку модификации вируса для атак на банки в конце года.
Первая атака с участием группы Cobalt была зарегистрирована в июне 2016 года. В России у крупного банка попытались украсть деньги через банкоматы. Злоумышленники проникли в сеть банка, получили над ней контроль, скомпрометировав учетную запись администратора домена, добрались до сервера управления банкоматами.
Сначала целью группы Cobalt было опустошение банкоматов: на них запускалась программа, напрямую отправляющая диспенсеру команды на выдачу наличных. Потом группа стала атаковать любые системы финансовых организаций, в которых имелись деньги (карточный процессинг, платежные системы, SWIFT и пр.). Получив доступ к такой системе, злоумышленники изучают алгоритм формирования платежных рейсов, и он повторяется «вручную». При этом сами сервисы или системы не взламываются, обеспечивается доступ в сеть организации, а далее – к соответствующим серверам систем.