# Cobalt Group > [!danger] Grupo Financeiro — ATM Jackpotting e Fraude SWIFT > **Cobalt Group** (MITRE G0080) é um grupo criminoso de origem russo/leste-europeia responsável por dezenas de ataques a bancos europeus via jackpotting de ATMs, fraudes SWIFT e roubo direto de redes bancárias. O líder foi preso na Espanha em 2018. ## Visão Geral O Cobalt Group é um grupo de crime cibernético financeiro especializado em ataques a bancos europeus e sistemas de ATM (caixas eletrônicos). Ativo entre 2016 e 2018, o grupo é responsável por prejuízos estimados em mais de €1 bilhão a bancos em mais de 40 países, segundo a Europol. O grupo usava o Cobalt Strike (de onde derivou seu nome) como ferramenta central de C2 e movimento lateral. Suas campanhas seguiam um padrão consistente: spear phishing com anexos maliciosos a funcionários de bancos, persistência via PowerShell, movimentação lateral para sistemas SWIFT ou redes de ATM, e então operações de jackpotting ou fraudes de transferência. Em 2018, o Europol e a Polícia Nacional da Espanha prenderam o suposto líder do grupo (Denis K.) na cidade de Alicante. O indiciamento revelou que o grupo realizou mais de 100 ataques a instituições financeiras em 40 países. Após a prisão do líder, o grupo fragmentou-se, com alguns membros possívelmente migrando para outros grupos ou operações independentes. ## Attack Flow ```mermaid flowchart LR A[Reconhecimento\nLinkedIn bancário\nE-mails de funcionários] --> B[Spear Phishing\nAnexos Word/PDF\nCobalt Strike beacon] B --> C[Movimento Lateral\nBloodHound AD\nRDP / PsExec] C --> D[Acesso ATM Network\nControladores de ATM\nSoftware jackpotting] D --> E[Jackpotting\nCaixas eletrônicos\nDispensam dinheiro] E --> F[Fraude SWIFT\nTransferências\nContas mulas] ``` ## TTPs Principais | Técnica | ID | Descrição | |---------|-----|-----------| | Spear Phishing | [[t1566-phishing\|T1566]] | Anexos maliciosos a funcionários bancários | | PowerShell | [[t1059-command-and-scripting-interpreter\|T1059]] | Cobalt Strike via PowerShell loaders | | Contas Válidas | [[t1078-valid-accounts\|T1078]] | Credenciais de operadores bancários | | ATM Jackpotting | [[t1486-data-encrypted-for-impact\|T1486]] | Controle de dispensadores de notas | ## Detecção e Defesa - Segmentar redes de ATM do ambiente corporativo bancário - Monitorar comúnicações de servidores ATM para padrões incomuns - Implementar controles de integridade de software nos controladores de ATM - Aplicar [[m1049-antivirus-antimalware|M1049]] nos endpoints bancários com detecção comportamental - Treinar funcionários bancários para reconhecer phishing direcionado ao setor financeiro ## Referências - MITRE ATT&CK: [Cobalt Group G0080](https://attack.mitre.org/groups/G0080/) - Europol: Cobalt Group leader arrest (2018) - Group-IB: Cobalt Group detailed analysis (2017) - CSIS: Cobalt Group ATM jackpotting campaign (2017) - Secureworks: GOLD KINGSWOOD Cobalt Group profile (2018)