Как пишет издание «Ведомости», о поимке главаря хакерских групп сообщило МВД Испании. Расследованием руководило МВД Испании, но к нему также были подключены Европол, ФБР США и полиция Румынии, Белоруссии и Тайваня, а также частные компании, занимающиеся информационной безопасностью. Основной сложностью при задержании членов преступной группы было то, что ее руководитель, курьеры, программисты, а также жертвы хакеров находились в разных странах.
Главный фигурант дела был задержан в испанском городе Аликанте. Личность задержанного не называют, но по сообщению представителя Европола он из «русскоязычного мира». МВД Испании сообщило, что задержанным является украинец Денис К. По сообщению представителя компании Group-IB, которая оказывает услуги в сфере кибербезопасности, главарь Cobalt – гражданин РФ. На территории Испании он находился с 2014 года, что значительно осложнило его задержание и проведение оперативно-разыскных действий. В Испании задержанный совместно с сообщниками совершил ряд преступлений, а именно заразил компьютерным вирусом несколько банкоматов и похитил с них денежные средства в размере 500 000 евро. При обыске у задержанного были обнаружены денежные средства в размере более 500 000 евро, большое количество ювелирных изделий, компьютерное оборудование и два спортивных автомобиля. Также арестованы банковские счета подозреваемого и недвижимость стоимостью 1 млн евро. По сообщению МВД Испании, похищенные денежные средства обменивались на криптовалюту в России или на Украине. Потом деньги переводились на предоплаченные карты, с которых уже и осуществлялись дорогие покупки.
Как отметил ведущий антивирусный эксперт «Лаборатории Касперского» (в 2015 году компания участвовала в одном из расследований деятельности группировки вместе с Европолом и Интерполом) Сергей Голованов, содержимое вредоносных файлов, которые злоумышленники оставляли на компьютерах жертв, свидетельствует о том, что создатели вирусов владеют русским языком. Для осуществления компьютерных атак группировка подбирала уже местного жителя той страны, где планировалось проводить атаку. Эксперт пояснил, что в подобного рода делах личность подозреваемого обычно раскрывают в ходе судебного разбирательства, если оно носит открытый характер. Наказание злоумышленникам будет зависеть от того, в какой стране будет рассматриваться дело. В этом качестве Европол упоминает несколько стран, среди которых США и Испания.
Свою деятельность Cobalt начал в 2013 году с атаки банкоматов с помощью программы Anunak. Позднее вирус усовершенствовали и на его основе создали программу Carbanak, а после 2016 года было разработано еще более сложное программное обеспечение Cobalt Strike. В случае если сотрудник банка скачивал вредную программу, хакеры получали удаленный контроль не только над его компьютером, но и над всей внутренней сетью организации. После этого они получали доступ к банкоматам и отправляли им команды, чтобы те стали выдавать деньги, когда рядом с ними будут члены группы. Только за одну операцию злоумышленники могли нанести ущерб до 10 млн евро.
В 2017 году Центробанк зафиксировал более 20 хакерских атак, к которым были причастны члены группы Cobalt. В общей сложности тогда было атаковано более 240 банков, о чем рассказал на Уральском форуме «Информационная безопасность финансовой сферы» заместитель председателя ЦБ Дмитрий Скобелкин. По его словам, 11 атак увенчались успехом и добычей хакеров стало более 1 млрд руб. По сообщениям специалистов компании Group-IB, хакеры из Cobalt систематически применяли новые методики совершения атак, часто меняли места, откуда осуществлялась атака, и имеют обширную информацию о том, как работает банковская система. «После заражения компьютеров сотрудников в том или ином банке Cobalt ждет от двух до четырех недель для того, чтобы изучить внутреннюю инфраструктуру организации, наблюдает за рабочим процессом и только после этого проводит атаку. То есть атака готовится в течение длительного времени, что позволяет им выводить большие суммы денег», – говорится в сообщении компании.
В 2017 году из российских банков и платежных систем на территории РФ хакеры похитили более 1,35 млрд руб., большая часть атак пришлась на несанкционированные операции через систему SWIFT (подробнее читайте в материале "За 2017 год хакеры похитили 1,35 млрд рублей из российских банков").