El arresto del líder de la banda que compone el Grupo Cobalt en Alicante (España) aún no ha llevado a la conclusión de ataques contra las instituciones financieras de este grupo con ataques dirigidos.

En la mañana del 26 de marzo (aproximadamente 11:00 hora de Moscú), el Equipo de Respuesta de Emergencia Informática del Group IB identificó correos electrónicos de spear phishing que fueron enviados por Cobalt actuando como SpamHaus, una conocida organización sin fines de lucro que lucha contra el spam y el phishing.

La carta enviada a los objetivos desde [email protected] (el dominio real de “Spamhaus” es spamhaus.org), afirmó que las direcciones IP de la empresa objetivo se bloquearon debido a sospechas de envío de correo no deseado.

Para “resolver” el problema, los autores de la carta invitaron a la víctima a seguir el enlace: lo que llevó a la descarga de un documento de Microsoft Office que en realidad es un malware.

Después de analizar la estructura del ataque, los especialistas del departamento de análisis de malware confirmaron que Cobalt está detrás de la campaña.

Cobalt es uno de los grupos delictivos más activos, responsable de los ataques dirigidos contra los bancos.

Según Europol, el grupo ha robado aproximadamente mil millones de euros de 100 bancos en 40 países. El 26 de marzo, Europol informó que la Policía Nacional española había llevado a cabo una operación a gran escala con el apoyo de Europol, el FBI y los organismos encargados de hacer cumplir la ley de Rumania, Taiwán y la República Bielorrusa.

Arrestos

Como resultado, el líder de Cobalt fue detenido en España y el autor del malware Cobalt fue arrestado por las autoridades ucranianas en Ucrania.

“No descartamos la teoría de que los miembros restantes continuarán realizando operaciones durante un período de tiempo con el objetivo de demostrar que las personas arrestadas no estaban asociadas con el grupo”, dijo Dmitry Volkov, CTO de Group IB, Jefe de Departamento de inteligencia de amenazas. “Dado el arresto del líder del Grupo Cobalt, tales campañas pronto desaparecerán y el escenario más probable es que los miembros restantes de Cobalt se unan a grupos existentes o una nueva” redistribución “dará como resultado una nueva organización cibercriminal atacando bancos en todo el mundo. Este Grupo fue un adversario digno en términos de herramientas y tácticas que fueron llevadas ante la justicia “.

Desde 2016, Cobalt ha atacado con éxito bancos en Rusia, el Reino Unido, los Países Bajos, España, Rumania, Bielorrusia, Polonia, Estonia, Bulgaria, Georgia, Moldavia, Kirguistán, Armenia, Taiwán, Malasia y otros países. Los especialistas forenses del Group IB fueron de los primeros en investigar los ataques de Cobalt contra bancos rusos y extranjeros, y en noviembre de 2016 emitieron un informe público sobre las actividades del grupo.

Inicialmente, los cibercriminales se especializaron en ataques lógicos contra cajeros automáticos.

Además de los sistemas de gestión de ATM, el grupo Cobalt intentó acceder a las pasarelas de pago y a los sistemas de procesamiento de tarjetas.

Además, a finales de 2017, por primera vez en la historia de las instituciones financieras en Rusia, realizaron un ataque exitoso contra un banco utilizando el sistema de transferencias interbancarias (SWIFT).

Grupo Cobalt sigue atacando pese al arresto de su líder

El Banco Central de Rusia consideró a Cobalt la principal amenaza para la industria financiera rusa

Durante un tiempo considerable, el “secreto del éxito” de Cobalt consistió en el hecho de que los hackers del grupo constantemente probaban nuevas herramientas y esquemas, a menudo cambiando la ubicación de los ataques y familiarizándose con el funcionamiento del banco.

Después de obtener acceso a las computadoras en un banco objetivo, Cobalt a menudo pasó de dos a cuatro semanas para estudiar la infraestructura interna de la organización, observa el proceso de trabajo y solo luego realiza su ataque.

También vale la pena señalar que el grupo no solo se enfocó en los bancos, sino también en compañías de desarrollo de software, medios y seguros.

El grupo obtendría acceso a los sistemas de las víctimas y, posteriormente, realizaría ataques contra los bancos para aumentar su probabilidad de éxito.

Es grandioso ver tal cooperación de la aplicación de la ley internacional y la industria privada para llevar a ese grupo ante la justicia.

Group IB estará listo y monitoreando las señales de actividades futuras de grupos de ataque dirigidos que tengan un impacto en el sector bancario.