Никогда такого не было — и вот опять!
В Испании арестован лидер хакерской группировки Cobalt, похитившей более ?1 млрд примерно у 100 финансовых организаций по всему миру. Об этом говорится в сообщении Европола. Личность арестованного не раскрывается.
К расследованию, которым руководила испанская полиция, были подключены Европол и ФБР США, белорусские, румынские и тайваньские власти, а также частные компании, занимающиеся информационной безопасностью. Как отмечается в сообщении Европола, основная сложность заключалась в том, что лидер группировки, ее программисты, перевозчики денег и жертвы хакеров находились в разных частях света.
Помимо предполагаемого главаря на Украине взят под стражу еще один участник группировки, сотрудничавший с ней как программист. О его задержании в Киеве сообщило украинское издание «Факты».
Главного подозреваемого задержали в испанском городе Аликанте. Представитель Европола заявил РБК, что национальность задержанного лидера Cobalt ведомство назвать не может, однако отметил, что он из «русскоязычного мира».
Bloomberg со ссылкой на Министерство внутренних дел Испании сообщил, что это Денис К., украинец по национальности. По информации представителя российской компании Group-IB, специализирующейся в сфере кибербезопасности, лидер Cobalt — гражданин России (его имя и фамилия также не сообщаются). Он находился в Испании с 2014 года, что осложняло его задержание и проведение оперативных мероприятий.
Представитель посольства России в Мадриде не ответил на запрос РБК к моменту публикации.
По словам ведущего антивирусного эксперта «Лаборатории Касперского» Сергея Голованова, артефакты, оставленные во вредоносных файлах и на компьютерах жертв Cobalt (группировка действовала с помощью вредоносных программ Carbanak, Cobalt Strike и др.), свидетельствуют, что создатели кода владеют русским языком. А для атак в той или иной стране они брали в команду человека, говорящего на местном языке — тайском, китайском, чешском, испанском и т.д.
Голованов пояснил также, что личность арестованного обычно раскрывается в ходе судебных заседаний, если они будут открытыми. Наказание будет зависеть от юрисдикции, где будет рассматриваться дело. На данный момент в отчете Европола упоминается в этом качестве несколько стран, включая США и Испанию.
По мнению технического директора Group-IB Дмитрия Волкова, несмотря на задержание лидера, члены группы Cobalt продолжат совершать вредоносные рассылки в банки России и Европы. «В некоторых случаях оставшиеся на воле преступники продолжают совершать атаки, чтобы показать, что задержанные не причастны к этой группе. Однако нам достоверно известно, что в Испании скрывался именно организатор, поэтому такие атаки скоро будут прекращены», — считает Волков. По его предположению, оставшиеся на свободе члены Cobalt могут создать новую преступную группу или присоединятся к другим.
«Свято место пусто не бывает: если исчезнет одна группировка, то с большой долей вероятности появится другая, которая возьмет инструментарий предыдущей и создаст свой. Например, Colbalt Strike может быть приобретена вполне легально для тестирования защищенности, но передана третьим лицам для использования в реальных атаках», — соглашается руководитель экспертного центра безопасности Positive Technologies Алексей Новиков.
Среди хакерских групп, представляющих наибольшую угрозу для банковского сектора, Волков назвал MoneyTaker, Silence и Lazarus. Согласно статистическим данным от Kaspersky Security Network, Cobalt организовала самую распределенную и массовую волну атак на финансовые институты в мире. На втором месте Lazarus, получившая известность после ограбления центрального банка Бангладеш.
К расследованию, которым руководила испанская полиция, были подключены Европол и ФБР США, белорусские, румынские и тайваньские власти, а также частные компании, занимающиеся информационной безопасностью. Как отмечается в сообщении Европола, основная сложность заключалась в том, что лидер группировки, ее программисты, перевозчики денег и жертвы хакеров находились в разных частях света.
Помимо предполагаемого главаря на Украине взят под стражу еще один участник группировки, сотрудничавший с ней как программист. О его задержании в Киеве сообщило украинское издание «Факты».
Главного подозреваемого задержали в испанском городе Аликанте. Представитель Европола заявил РБК, что национальность задержанного лидера Cobalt ведомство назвать не может, однако отметил, что он из «русскоязычного мира».
Bloomberg со ссылкой на Министерство внутренних дел Испании сообщил, что это Денис К., украинец по национальности. По информации представителя российской компании Group-IB, специализирующейся в сфере кибербезопасности, лидер Cobalt — гражданин России (его имя и фамилия также не сообщаются). Он находился в Испании с 2014 года, что осложняло его задержание и проведение оперативных мероприятий.
Представитель посольства России в Мадриде не ответил на запрос РБК к моменту публикации.
По словам ведущего антивирусного эксперта «Лаборатории Касперского» Сергея Голованова, артефакты, оставленные во вредоносных файлах и на компьютерах жертв Cobalt (группировка действовала с помощью вредоносных программ Carbanak, Cobalt Strike и др.), свидетельствуют, что создатели кода владеют русским языком. А для атак в той или иной стране они брали в команду человека, говорящего на местном языке — тайском, китайском, чешском, испанском и т.д.
Голованов пояснил также, что личность арестованного обычно раскрывается в ходе судебных заседаний, если они будут открытыми. Наказание будет зависеть от юрисдикции, где будет рассматриваться дело. На данный момент в отчете Европола упоминается в этом качестве несколько стран, включая США и Испанию.
По мнению технического директора Group-IB Дмитрия Волкова, несмотря на задержание лидера, члены группы Cobalt продолжат совершать вредоносные рассылки в банки России и Европы. «В некоторых случаях оставшиеся на воле преступники продолжают совершать атаки, чтобы показать, что задержанные не причастны к этой группе. Однако нам достоверно известно, что в Испании скрывался именно организатор, поэтому такие атаки скоро будут прекращены», — считает Волков. По его предположению, оставшиеся на свободе члены Cobalt могут создать новую преступную группу или присоединятся к другим.
«Свято место пусто не бывает: если исчезнет одна группировка, то с большой долей вероятности появится другая, которая возьмет инструментарий предыдущей и создаст свой. Например, Colbalt Strike может быть приобретена вполне легально для тестирования защищенности, но передана третьим лицам для использования в реальных атаках», — соглашается руководитель экспертного центра безопасности Positive Technologies Алексей Новиков.
Среди хакерских групп, представляющих наибольшую угрозу для банковского сектора, Волков назвал MoneyTaker, Silence и Lazarus. Согласно статистическим данным от Kaspersky Security Network, Cobalt организовала самую распределенную и массовую волну атак на финансовые институты в мире. На втором месте Lazarus, получившая известность после ограбления центрального банка Бангладеш.