В Испании задержан лидер преступной группы Cobalt 💥
По оценкам Европола, киберпреступники украли около 1 млрд евро у 100 банков по всему миру.

Европол объявил об аресте в Испании лидера хакерской преступной группы Cobalt, похитившей около 1 млрд евро у 100 банков в 40 странах мира. Главу хакерской группы задержали  в испанском городе Аликанте в результате масштабной операции, проведенной испанской национальной полицией при поддержке Европола, ФБР и правоохранительных органов Румынии, Тайваня и Республики Беларусь.

Долгое время “секрет успеха” Cobalt состоял в том, что хакеры группы постоянно тестировали новые инструменты и схемы, часто меняли локацию проведения атак и хорошо знали, как работают банки. После заражения компьютеров сотрудников того или иного банка Cobalt ждет от двух до четырех недель для того, чтобы изучить внутреннюю инфраструктуру организации, наблюдает за рабочим процессом, и только после этого проводит атаку. В среднем промежуток от проникновения до вывода денег составляет три-четыре недели, средняя сумма хищения - 100 млн руб.

При этом, если сравнивать Cobalt с другими хакерскими группами, например MoneyTaker, Cobalt работала грубее, оставляя за собой много цифровых следов: она никогда не создавала сертификаты для своих серверов управления или рассылок, зато делала ставку на массовые атаки. Злоумышленники работали в промышленных масштабах, атакуя большое количество банков сразу, практически не подстраиваясь под конкретную жертву.

Несмотря на то, что Европол отчитался об аресте лидера Сobalt, группа продолжает атаки.
Сегодня утром Центр реагирования на киберинциденты (CERT) Group-IB зафиксировал  фишинговую рассылку Cobalt от имени компании «Spamhaus».  SpamHaus — известная некоммерческая организация, которая борется со спамом и фишингом.  Она не только ведет базы данных спамеров, но и добивается блокировки серверов, веб-сайтов, доменов, с которых, по мнению SpamHaus, идут спамерские рассылки. Деятельность  SpamHaus нередко вызывает критику, но авторитет их довольно высок, чем и решили воспользоваться хакеры из Cobalt.  В письме, отправленном с  адреса j.stivens@spamhuas.com (реальный домен «Spamhaus» — spamhaus.org), утверждается, что  IP-адреса компании-получателя были заблокированы из-за  рассылки спама. Чтобы решить проблему,  в письме добавлена ссылка на загрузку документа Microsoft Office с вредоносным вложением.
Мы не исключаем, что оставшиеся на свободе члены группы Cobalt некоторое время будут продолжать атаки в том числе, чтобы показать, что их задержанные подельники не причастны к этой группе. Однако, нам достоверно известно, что в Испании  скрывался именно организатор, поэтому такие атаки скоро будут прекращены.

О задержании в Испании лидера преступной группы Сobalt вчера и сегодня сообщают ведущие федеральные СМИ.

💥Cobalt понесла первые потери. Подробнее на РБК:
https://www.rbc.ru/newspaper/2018/03/27/5ab8f5f29a79475f32846240

💥Банки лишились главной киберугрозы
Подробности: https://www.kommersant.ru/doc/3585448

💥В Испании задержан лидер «самой успешной» хакерской группировки
https://www.vedomosti.ru/technology/articles/2018/03/26/754928-ispanii-hakerskoi

💥В Испании задержан хакер — вдохновитель грандиозных финансовых афер https://www.bfm.ru/news/380773

А мы продолжаем следить за темой.  Group-IB: несмотря на арест лидера, группа Сobalt продолжает атаки на банки
https://www.group-ib.ru/media/gib-cobalt-activity/

Вчера и сегодня в Москве идут две масштабные конференции — конгресс РАКИБ БЛОКЧЕЙНРФ-2018 и блокчейн-форум DECENTER, на которых спикеры из Group-IB  рассказали о вопросах кибербезопасности блокчейн-индустрии.
Большинство видят проблему безопасности только в уязвимостях, связанных со смарт-контрактом. К сожалению, по нашим данным,  наибольшее количество успешных атак происходят именно на команду проекта, являющейся самым слабым звеном. Об использовании киберпреступниками социальной инженерии и об элементарных мерах безопасности команды, проекты пока задумываются крайне редко. Об этом рассказывал в своем выступлении на БЛОКЧЕЙНРФ Руслан Юсуфов, руководитель департамента специальных проектов  Group-IB, а на DECENTER — Илья Обушенко, эксперт по защите ICO и блокчейн проектов Group-IB.
С другой стороны — заметна и положительная динамика. Вопросы безопасности на конференциях все чаще выносятся в отдельные сессии и активно обсуждаются, а уровень понимания проблемы киберугроз заметно растет.  Например, сегодня, 28 марта, в рамках конференции DECENTER, пройдет конкурс ICO, на котором Руслан Юсуфов  в составе жюри будет оценивать проекты. Интересно, насколько глубоко с точки зрения безопасности они будут проработаны?

https://cryptoconf.su/moscow
https://rc.moscow/

Во время церемонии открытия зимних Олимпийских игр в Пхёнчхане хакеры использовали вирус Olympic Destroyer, который уничтожает файлы и выводит системы из строя. Атака на компьютерные сети привела к проблемам с прямой трансляцией, работе сети Wi-Fi и официального сайта Олимпиады. «В преддверии чемпионата мира по футболу мы ожидаем всплеска вредоносной активности по всем направлениям: фишинг, трояны, POS-трояны, DDoS, целевые атаки, диверсии», — сообщил руководитель департамента Threat Intelligence и CTO компании Group-IB Дмитрий Волков. Особое внимание, по его словам, стоит уделить предотвращению возможных диверсий, как это случилось, например, в Пхенчхане.

Подробнее на РБК:
https://rt.rbc.ru/tatarstan/freenews/5aba66589a7947a1fe138c22

Количество жуликов, пытающихся под видом сотрудников банков  выудить персональные данные у пользователей соцсетей, в 2017 году, по оценкам Group-IB,  выросло вдвое.  Бывает так: клиент банка оставляет в соцсетях вопрос или жалобу. Сотрудник кредитной организации обычно отвечает в течение нескольких часов. Мошенники же реагируют куда быстрее. Буквально через несколько минут клиенту  приходит  сообщение в "личку" якобы от сотрудника банка. Предлагая помочь, он пытается получить доступ к онлайн-банкингу клиента. Например, для повышения уровня доверия может инициировать отправку на мобильный телефон клиента одноразового пароля - для этого нужен лишь логин для входа в личный кабинет. По статистике, чаще всего злоумышленники действуют в сети "ВКонтакте".  Другие способы, как мошенники убеждают отдавать им деньги, описаны в Ъ https://www.kommersant.ru/doc/3580420

И по мотивам публикации в Ъ несколько советов, как не стать жертвой социальной инженерии:

💥Никому и никогда не сообщайте свой логин и пароль для входа в онлайн-банкинг, номер банковской карты, CVC-код, sms c  кодом подтверждения транзакции и т.д.
💥Если вам звонит или пишет человек, представляющийся сотрудником банка, перепроверьте  — свяжитесь с банком.
💥Не открывайте подозрительные сообщения ("Вы выиграли приз!", "Смотри, твои фото здесь" ) и не переходите по ссылкам, даже если вам их прислали коллеги или друзья. Их тоже могли заразить вирусом или взломать!
💥Не доверяйте низким ценам, не производите предоплату и не переводите деньги на карту или электронный кошелек продавцов.
💥Возьмите за правило публиковать как можно меньше личной информации и фотографий! Помните, все, что попало в интернет, осталось там навсегда и доступно всем!

Сегодня сообщают о закрытии двух японских криптобирж - Mr. Exchange и Tokyo GateWay. Причина — в ужесточении требований регулятора к криптосервисам после кражи $533 млн (в цифровой валюте NEM) у японской биржи Coincheck. Тогда в результате атаки пострадали порядка 260 000 пользователей. Национальное разведывательное агентство Южной Кореи утверждает, что за атакой, вероятнее всего, стоят северокорейские хакеры. У этой атаки оказалось несколько особенностей, присущих предыдущим операциям северокорейских хакеров, а также есть общие черты с атакой на южнокорейскую площадку Youbit в декабре прошлого года.
           
Напомним, что хакеров из Северной Кореи неоднократно обвиняли в в атаках на криптосервисы — краже личных данных около 30 000 пользователей биржи криптовалют Bithumb в июне 2017 и краже криптовалюты с биржи Coinis в сентябре 2017 года.  Их даже подозревали в загрузках на компьютеры майнеров, доход от работы которых отправлялся в Университет имени Ким Ир Сена, и фишинговых рассылках на почту британских криптоинвесторов, у которых похищали учетные данные от кошельков.   👻          
ДЛЯ СПРАВКИ: проанализировав порядка 450 атак на ICO-проекты по всему миру, в Group-IB пришли к выводу, что общий объем атак на каждое ICO вырос почти в 10 раз. Каждое ICO атакуют в среднем около 100 раз в течение месяца. Среди них — фишинг, дефейс (deface — подмена сайта во время ICO), DDoS, а также целенаправленные атаки с целью компрометации секретных ключей и получения контроля над счетами. В среднем, крупная фишинговая группировка похищает криптовалюту на сумму от $30 000 до $1,5 миллиона в месяц.

Alarm! Сбоем в работе популярного мессенджера Telegram Павла Дурова воспользовались мошенники. Всего за час работы на крипто-кошелек, рекламируемый фейковым аккаунтом Дурова в Twitter’е, упали около 3 500$. Аккаунт до сих пор не заблокирован! Подробности через пару минут!

Group-IB  cтали известны подробности свежей мошеннической схемы, на которую попались подписчики Павла Дурова.  Под  реальными постами  Дурова появились фейковые сообщения с аккаунта P­a­v­e­l­ D­u­r­o­v @durhiov о том, что в качестве извинений пользователям Telegram  будет предложена компенсация в  Ethereum. Все подробности обещаны по ссылке на мошеннический сайт, который собирает крипту. Не попадитесь!

Схема простая: Дуров написал в Twitter, что причиной сбоя Telegram стало отключение электричества и пообещал, что в ближайшее время все починят, поэтому "скрестим пальцы"... Под этими реальными постами появились фейковые сообщения с аккаунта P­a­v­e­l­ D­u­r­o­v @durhiov о том, что в качестве извинений пользователям Telegram  будет предложена компенсация в  Ethereum. Все подробности обещаны по ссылке http://ethg.st/ "
На самом сайте  обещана раздача до 5 000 ETH. Чтобы принять участие в акции, надо отправить  0,5 до 5 ETH по адресу, зашифрованному в QR-коде, и в ответ поступит приз в размере от 5 до 100 ETH! Тем, кто отправляет больше 1 ETH, щедро обещан бонус. Запись об акции в фальшивом аккаунте собрала порядка 1000 лайков и 45 репостов. Этого стало достаточно, чтобы за час жулики, успев воспользоваться «падением телеги»,  смогли собрать около 8,30384559 ETH или 3 500$.