Grupo Cobalt: la amenaza continúa

Josep Verdura - Analista de Seguridad de Vintegris

Josep Verdura – Analista de Seguridad de Vintegris

A pesar del arresto del líder del grupo cibercriminal y del autor del malware, el Grupo Cobalt ha continuado atacando.

El arresto del líder de la banda que compone el Grupo Cobalt en Alicante (España) aún no ha llevado a la conclusión de ataques contra las instituciones financieras de este grupo con ataques dirigidos.

En la mañana del 26 de marzo, el Equipo de Respuesta de Emergencia Informática ruso identificó correos electrónicos de spear phishing que fueron enviados por Cobalt actuando como SpamHaus, una conocida organización sin fines de lucro que lucha contra el spam y el phishing.

La carta enviada a los objetivos desde j.stivens@spamhuas.com (el dominio real de “Spamhaus” es spamhaus.org), afirmó que las direcciones IP de la empresa objetivo se bloquearon debido a sospechas de envío de correo no deseado.

Para “resolver” el problema, los autores de la carta invitaron a la víctima a seguir el enlace: lo que llevó a la descarga de un documento de Microsoft Office que en realidad es un malware.

Después de analizar la estructura del ataque, los especialistas del departamento de análisis de malware confirmaron que Cobalt está detrás de la campaña.

Cobalt es uno de los grupos delictivos más activos, responsable de los ataques dirigidos contra los bancos.

Según Europol, el grupo ha robado aproximadamente mil millones de euros de 100 bancos en 40 países. El 26 de marzo, Europol informó que la Policía Nacional española había llevado a cabo una operación a gran escala con el apoyo de Europol, el FBI y los organismos encargados de hacer cumplir la ley de Rumania, Taiwán y la República Bielorrusa.

Arrestos

Como resultado, el líder de Cobalt fue detenido en España y el autor del malware Cobalt fue arrestado por las autoridades ucranianas en Ucrania.

Desde 2016, Cobalt ha atacado con éxito bancos en Rusia, el Reino Unido, los Países Bajos, España, Rumania, Bielorrusia, Polonia, Estonia, Bulgaria, Georgia, Moldavia, Kirguistán, Armenia, Taiwán, Malasia y otros países.

Inicialmente, los cibercriminales se especializaron en ataques lógicos contra cajeros automáticos.

Además de los sistemas de gestión de ATM, el grupo Cobalt intentó acceder a las pasarelas de pago y a los sistemas de procesamiento de tarjetas.

Además, a finales de 2017, por primera vez en la historia de las instituciones financieras en Rusia, realizaron un ataque exitoso contra un banco utilizando el sistema de transferencias interbancarias (SWIFT).

El Banco Central de Rusia consideró a Cobalt la principal amenaza para la industria financiera rusa

Durante un tiempo considerable, el “secreto del éxito” de Cobalt consistió en el hecho de que los hackers del grupo constantemente probaban nuevas herramientas y esquemas, a menudo cambiando la ubicación de los ataques y familiarizándose con el funcionamiento del banco.

Después de obtener acceso a las computadoras en un banco objetivo, Cobalt a menudo pasó de dos a cuatro semanas para estudiar la infraestructura interna de la organización, observa el proceso de trabajo y solo luego realiza su ataque.

También vale la pena señalar que el grupo no solo se enfocó en los bancos, sino también en compañías de desarrollo de software, medios y seguros.

El grupo obtendría acceso a los sistemas de las víctimas y, posteriormente, realizaría ataques contra los bancos para aumentar su probabilidad de éxito.

Es grandioso ver tal cooperación de la aplicación de la ley internacional y la industria privada para llevar a ese grupo ante la justicia.

 

 

Por Josep Verdura – Analista de Seguridad de Vintegris