Эксперты рассказали о последствиях задержания лидера хакерской группировки Cobalt
В понедельник в испанском городе Аликанте был задержан лидер хакерской группировки Cobalt. Также был арестован программист группировки - 30-летний киевлянин.
Об этом сообщили в Европейском полицейском агентстве (Европол), передает Коммерсант.
Технический директор Group-IB Дмитрий Волков сообщил, по их данным лидер Cobalt - россиянин, который находился в Испании с 2014 года.
В тоже время согласно сообщению киберполиции Украины, 30-летний киевлянин является членом группировки с 2016 года, в его обязанности входили разработка и поддержка надлежащей работы вредоносов, которые использовали уязвимости в наиболее распространенных программных продуктах.
Эксперты в сфере информационной безопасности уверены, что в связи с этим на определенное время кредитные организации будут избавлены от атак группировки, однако примерно через полгода атаки возобновятся.
Как следует из сообщения Европола, Cobalt ограбила свыше 100 банков более чем в 40 странах, а общий ущерб индустрии достиг €1 млрд.
"Масштаб потерь был крайне значительным. Например, программа Cobalt позволяла преступникам красть за раз до €10 млн", - отметили в Европоле.
В Банке России называли Cobalt главной угрозой кибербезопасности российских банков в 2017 году.
В 2017 году группировка похитила деньги из 11 российских банков, суммарный ущерб составил 1,5 млрд руб. Наиболее крупное хищение в России - 400 млн руб. из банка "Союз".
До сих пор правоохранителям не удавалось поймать значимых членов группировки Cobalt.
"Ранее задерживались только дропперы (лица, которые привлекаются злоумышленниками для снятия средств через банкоматы) или же рядовые члены", - рассказал журналистам собеседник в правоохранительных органах.
Несмотря на арест лидера, атаки на банки мгновенно не прекратились. "26 марта мы зафиксировали рассылку вредоносного ПО в стиле группировки Cobalt", - рассказывает руководитель экспертного центра безопасности Positive Technologies Алексей Новиков. Но это лишь агония, уверены эксперты.
"Возможно, атака была совершена, чтобы показать, что задержанные люди непричастны к группе, подобные прецеденты уже были. Но нам достоверно известно, что в Испании скрывался именно организатор, поэтому такие атаки скоро будут прекращены.", - отметил технический директор Group-IB Дмитрий Волков.
По словам собеседника журналистов в правоохранительных органах, организатор замыкал на себе все контакты между членами группировки, пока эти контакты не будут восстановлены и связи внутри не налажены, хищений не будет.
Однако это вовсе не означает, что угроза миновала вовсе.
"Опыт показывает, что рано или поздно осколки группировки организуются в новую организацию (или втянутся в уже существующую), которая будет действовать схожим образом или будет использовать уже обкатанные наработки, модифицируя их", - рассуждает Алексей Новиков. По оценкам собеседника "Ъ" в правоохранительных органах, затишье в связи с задержанием организатора Cobalt может продлиться около полугода.
В банках рады грядущей передышке и намерены использовать ее для усиления киберзащиты. "На смену одним злоумышленникам придут другие, которые будут использовать те же походы и вредонос, что и Cobalt, нас ожидает не более чем небольшое затишье", - отметил глава управления информбезопасности ОТП-банка Сергей Чернокозинский.
"Если Cobalt был так успешен, никто не мешает другим на основании имеющихся исходников кода сделать подобие. Поэтому банкам необходимо готовиться к новым атакам и усиливать системы защиты", - сообщил начальник управления информационной безопасности Златкомбанка Александр Виноградов.
Кроме того, есть мнение, что сейчас далеко не все приписываемые Cobalt атаки принадлежат этой группировке, значит, угроза лишь частично снята.
"Как Cobalt Strike, так и прочие инструменты, которые используются в ходе атак, можно купить на специализированных форумах, в том числе и как услугу. Нельзя однозначно утверждать, что все приписываемые группировке атаки действительно совершены именно ею, а это значит, что на нынешнем новостном фоне можно ожидать лишь сокращения их числа", - сообщил операционный директор центра по мониторингу и реагирования на кибератаки Solar JSOC Антон Юдаков.
По его словам, есть мнение, что члены группировки Cobalt - это выходцы из других команд киберпреступников, ранее прошедших путь от многочисленных успешных атак до ареста. Таким образом, очевидно, что рано или поздно Cobalt восстановится и продолжит свою деятельность, возможно, уже под другим именем.