РУССКИЙ
РУССКИЙ
ENGLISH
19.03.2018

Большая разница: Cobalt vs MoneyTaker

Чем отличаются две самые активные преступные группы
Банк России называет преступную группу Cobalt главной угрозой для российских банков — все прошедшие 11 успешных атак на российские банки с хищением более 1 млрд руб. приписывают ей. Мы следим за Cobalt с 2016 года — сейчас это действительно самая активная группировка, которая ворует деньги у банков по всему миру. Cobalt не знает каникул и выходных, действует весьма агрессивно, в связи с чем у некоторых экспертов появился соблазн «повесить» на нее все целевые атаки на банки. В том числе и совершенные другими преступными группировками.
Кейс 1
Пользователь совершил покупку в Интернет-магазине. Когда курьер доставил товар, он оказался ненадлежащего качества. Что делать и как вернуть деньги?
Решение:
1
Проверить товар!
Проверить товар на наличие недостатков, сразу при получении.
2
Сфотографировать!
По возможности сфотографировать недостатки.
3
Не подписывать!
НЕ подписывать документы о приемке товара (накладные)
4
Связаться с продавцом
Связаться с продавцом и сообщить о выявленных недостатках, о намерении вернуть товар с требованием о возврате денежных средств.
5
Вернуть товар
Составить акт о выявленных недостатках с требованием к продавцу вернуть уплаченные деньги, вернув товар с недостатками продавцу
6
Направить претензию
Если продавец не идет на контакт – необходимо направить претензию в адрес продавца. Претензия будет носить досудебный характер урегулирования спора. Рекомендуется приложить к претензии копии документов, подтверждающих приобретение и оплату товара. Претензию необходимо отправить заказным письмом с уведомлением о вручении с целью подтверждения соблюдения претензионного порядка в суде.
7
Обращаться в суд!
Если продавец не идет на переговоры – обращение в суд. Потребитель составляет иск в соответствии со ст. 131 ГПК РФ, со ссылкой на нормы Закона о защите прав потребителей и Гражданский кодекс РФ. Так, в случае продажи потребителю некачественного товара, потребитель вправе отказаться от договора, потребовать возврата уплаченных денежных средств, убытков, причиненных вследствие продажи некачественного товара, возмещение морального вреда. К исковому заявлению нужно приложить квитанцию о направлении продавцу претензии, а также вышеуказанные документы (акт о недостатках, скриншот с информацией о заказе, данными о продавце).
Если недостатки выявлены позднее, ПОСЛЕ приемки товара, необходимо:
1
Доказать
Убедиться, что не истек гарантийный срок на товар, а при его отсутствии – разумный срок, но не более двух лет со дня получения товара. При этом, следует доказать, что недостатки товара возникли до его передачи покупателю или по причинам, возникшим до этого момента.
2
Связаться с продавцом
Связаться с продавцом с требованием вернуть деньги с условием о возврате некачественного товара (подтвердить факт возврата товара/денег можно путем составления соответствующего акта о возврате).
3
Направить претензию
В случае отказа продавца от возврата уплаченных денежных средств – направить претензию с указанием: способа оплаты; выявленных недостатков, времени и обстоятельств их обнаружения; заявления об отказе от договора купли-продажи и требования о возврате уплаченной за товар суммы.
  • Продавец обязан принять товар ненадлежащего качества, предварительно разъяснив покупателю порядок возврата и приемки такого товара.
  • В случае необходимости продавец проводит проверку качества товара. Покупатель вправе участвовать в проверке его качества. Проверка качества товара может включать проведение экспертизы.
  • Важно отметить, что следует проводить независимую экспертизу.
  • Срок возврата денег, уплаченных за некачественный товар, составляет 10 дней с момента предъявления требования.
  • При возврате покупателю денежных средств продавец не вправе удерживать из них сумму, на которую понизилась стоимость товара из-за полного или его частичного использования, потери им товарного вида или подобных обстоятельств (п. 5 ст. 503 ГК РФ; п. 27 Правил N 55).
4
Обратиться с иском в суд
При отказе продавца разрешить вопрос в добровольном порядке или при обнаружении сомнительных результатов экспертизы – необходимо обратиться с иском в суд. Порядок и правила подачи искового заявления описаны выше (Шаг 8).
Осенью 2017 года эксперты Group-IB первыми рассказала о деятельности преступной группы MoneyTaker, которая долгое время оставалась незамеченной, при этом всего за полтора года атаковала 20 банков и организаций по всему миру. Мы рассказали об атаках и индикаторах ее «работы», для того чтобы предупредить рынок об этой угрозе. Однако до сих пор слышим мнения, что все эти атаки — дело рук Cobalt.

Криминалисты Group-IB первыми выезжали к потерпевшим от Cobalt и MoneyTaker банкам. На протяжении ряда лет мы детально анализировали инструменты, цели, тактику обеих хакерских группировок, поэтому легко можем провести водораздел между ними и поставить точку в этих спорах. Для Threat Intelligence экспертов это две абсолютно разные хакерские группы.
Итак, хакеры из MoneyTaker всегда стараются оставаться незамеченными, используют «одноразовую» инфраструктуру, «бестелесные» программы и тщательно заметают следы своего присутствия. Для того чтобы соединения с сервером управления не вызывали подозрений у служб безопасности банков, злоумышленники используют SSL-сертификаты (своего рода уникальная цифровая подпись сайта) с именами известных международных брендов, в том числе банковских: Bank of America, Federal Reserve Bank, Microsoft, Yahoo). Один раз им даже удалось дважды атаковать один американский банк.

Группа Cobalt работает грубее, оставляет за собой много цифровых следов: она никогда не создавала сертификаты для своих серверов управления или рассылок, они делают ставку на массовые атаки. Эти злоумышленники работают в промышленных масштабах, атакуя большое количество банков сразу, практически не подстраиваясь под конкретную жертву. Совсем другое дело хакеры из MoneyTaker, они работают индивидуально с каждым «клиентом» и вносят изменения в код программы «на лету» — прямо во время проведения атаки.

MoneyTaker и Cobalt отличает уникальный набор инструментов, а также стиль фишинговых рассылок, с помощью которых происходит первоначальное заражение. В то время, пока группа Cobalt проводила атаки в Восточной Европе и СНГ, не используя никаких самописных программ (кроме ATMSpitter и упаковщиков), хакеры из MoneyTaker вносили изменения в код программы «на лету» — прямо во время проведения атаки. Одна из таких «самописных» программ — MoneyTaker 5.0 предназначена для автозамены платежных реквизитов в АРМ КБР (Автоматизированное рабочее место клиента банка России).
Инструменты, которые использует группа MoneyTaker
Кроме того, группировки используют разные пути вывода средств из банка. Восстанавливая картину преступлений, наша команда криминалистов отмечала, что группа Cobalt избегает компьютеров с АРМ КБР и предпочитает проводить атаки на банкоматы, платежные шлюзы, карточный процессинг и SWIFT. А вот MoneyTaker выводила деньги из российских банков, используя именно АРМ КБР. Логично предположить, что, имея в арсенале программу для совершения хищений через АРМ КБР, хакеры из Cobalt не игнорировали этот канал. Потенциально вывести через него можно в разы больше, что показывают атаки 2016 года.

Для проникновения в сеть банка и закрепление в системе Cobalt использует Cobalt Strike — это фреймворк для проведения тестов на проникновение, позволяющей доставить на атакуемый компьютер полезную нагрузку и управлять ею. У MoneyTaker основной инструмент — фреймворк Metasploit и PowerShell Empire.

А главное — за этими группами стоят разные люди, которые, я уверен, уже в скором будущем предстанут перед судом и сядут в тюрьму.

Анализ атак MoneyTaker
Очевидно, что группировка MoneyTaker представляет не меньшую угрозу, чем Cobalt. Именно поэтому мы выпустили открытый отчет о преступлениях MoneyTaker, а также дали рекомендации службам безопасности банков о том, как минимизировать опасность, которую представляет эта группа. Для масштабного информирования участников финансового рынка о потенциальных рисках и предупреждении вероятных атак на российские банки необходима работа в этом направлении со стороны регулятора. Предупрежден — значит вооружен, а наши банки в большинстве своем наслышаны о Cobalt, регулярно появляющейся в отчетах FinCERT, но, увы, не знают о других угрозах, а значит, находятся в зоне повышенного риска.

Сокращенная версия этой публикации доступна на сайте "КоммерсантЪ" по ссылке.