Специалисты по безопасности из Group-IB зафиксировали в конце мая 2018 года две атаки хакеров из группировки Cobalt, нацеленные на банки России, других стран СНГ и, предположительно, иностранные.

Архитектура атак включала рассылку писем с поддельных доменных адресов, замаскированных под домены «Лаборатории Касперского» и Европейского центрального банка.

Вредоносные письма якобы от «Лаборатории Касперского», написанные на английском языке, предупреждали получателя, что он обязан в течение 48 часов перейти по ссылке и объяснить незаконную активность, зафиксированную с его ПК. В противном случае принадлежащим ему веб-ресурсам грозила блокировка.

Расследование установило прямую связь между поддельным доменом, с которого шла рассылка, и владельцем доменов, с которых ранее осуществлялись атаки Cobalt. По наблюдениям экспертов, группировка впервые использовала фишинговую рассылку от имени крупного разработчика антивирусов.

В самой «Лаборатории Касперского» подтвердили существование фальшивых доменов и фактов фишинговой рассылки. Представители компании сообщили, что домены заблокированы, а ее решения изначально обнаруживали и блокировали хакерское ПО.

Вторая вредоносная рассылка Cobalt маскировалась под сообщение от Европейского центрального банка. В письме, также составленном на английском языке, была ссылка на файл формата .doc «с описанием финансовых рисков».

В 2017 году, согласно данным Банка России, 11 из 240 атак группы Cobalt на российские банки завершились успешно. Хакерам удалось похитить 1,15 млрд рублей. По информации Европола, в общей сложности участники Cobalt ограбили минимум 100 банков в 40 странах, а суммарный ущерб достиг 1 млрд евро.

В марте 2018 года лидера Cobalt – предположительно, гражданина России – задержали в Испании. После чего атаки временно прекратились, и эксперты прогнозировали минимум шесть месяцев «тишины». Однако группировка возобновила деятельность спустя всего два месяца.