Киберпреступная группа Cobalt (также Cobalt Gang, Cobalt Spider) существует с 2016 года и атакует организации кредитно-финансовой сферы c целью кражи денежных средств. Предположительно, некоторые ее участники были членами существовавшей ранее группы Carbanak.
Cobalt получила свое название по имени программного обеспечения для тестирования информационных систем на проникновение Cobalt Strike, производимого американской компанией Strategic Cyber, LLC.
Сначала целью группы Cobalt было опустошение банкоматов: на них запускалась программа, напрямую отправляющая диспенсеру команды на выдачу наличных. Потом группа стала атаковать любые системы финансовых организаций, в которых имелись деньги (карточный процессинг, платежные системы, SWIFT и пр.).
Для проникновения в системы банка группировка Cobalt, как правило, рассылает сотрудникам финансовой организации письма с вложенным файлом, которые получатели могут принять за служебную переписку или личную корреспонденцию. При открытии вложения в системе автоматически запускалась вредоносная программа, с помощью которой мошенники получали доступ к информационным системам интересующей их организации.
Группой были атакованы банки как минимум в 14 странах, включая Россию, Великобританию, Нидерланды и Малайзию.
По оценкам ФинЦЕРТ, ущерб от атак группы Cobalt в России в 2017 году превысил 1 млрд рублей. После ареста одного из лидеров группы в 2018 году группа продолжила свою активность. Один из громких взломов, к которым была причастна группа, — взлом системы быстрых платежей Unistream.
