# Cobalt Group > [!danger] Ameaça Crítica ao Setor Bancário - ATM Jackpotting e SWIFT Fraud > Cobalt Group (GOLD KINGSWOOD) é o grupo de crime financeiro mais prolífico contra bancos da Europa Oriental e Ásia Central desde 2016. Especialidade: comprometer redes bancárias internas para executar **ATM jáckpotting**, manipulação de sistemas **SWIFT** e fraude em processamento de cartões. Em um único ataque, o grupo chegou a roubar US$ 10 milhões de um banco em 40 minutos via modificação de limites de saques em rede ATM. Embora o suposto líder tenha sido preso na Espanha em 2018, o grupo continuou ativo com novas campanhas documentadas até 2024. ## Visão Geral O **Cobalt Group** é um dos grupos de cibercrime financeiro mais técnicamente sofisticados já documentados. Ativo desde pelo menos 2016, o grupo tem ligações reportadas com o malware [[g0008-carbanak|Carbanak]] e possívelmente com o grupo [[g0046-fin7|FIN7]], compartilhando TTPs e infraestrutura em períodos de sobreposição. A assinatura operacional do grupo é clara: infiltrar redes de instituições financeiras via spear-phishing ou comprometimento de cadeia de fornecimento, mover lateralmente até atingir sistemas de controle de ATM ou interfaces SWIFT, e então executar saques em massa coordenados com "mulas" posicionadas fisicamente nas máquinas - um modelo que requer coordenação precisa entre o time técnico e operacional. O grupo demonstrou capacidade de atacar **múltiplos bancos simultaneamente** em diferentes países, utilizando a mesma infraestrutura C2 e os mesmos payloads personalizados ([[s0284-moreeggs|More_eggs]], [[s0646-spicyomelette|SpicyOmelette]]). A prisão de Denis Katana (suposto líder) em Alicante em março de 2018 não deteve as operações - novas campanhas foram documentadas nos anos seguintes com TTPs evolutivos. Pontos de diferenciação do grupo: - **Supply chain attacks**: comprometimento de softwares de gestão bancária usados por múltiplos bancos - **Living-off-the-land**: uso extensivo de CMSTP, Regsvr32, ODBCCONF para bypass de defesas - **ATM jáckpotting coordinado**: saques simultâneos em centenas de ATMs em tempo real - **Ligações com Carbanak**: possível sobreposição de infraestrutura e TTP com outro grupo financeiro de alto perfil ## Attack Flow - Fraude Bancária em Escala ```mermaid graph TB A["Acesso Inicial<br/>T1566.001 phishing CFO<br/>T1195.002 supply chain"] --> B["Execução Inicial<br/>T1204.002 macro Office<br/>T1559.002 DDE exploit"] B --> C["Evasão de Defesas<br/>T1218 CMSTP/Regsvr32<br/>T1027 ofuscação cmd"] C --> D["Persistência<br/>T1053.005 scheduled task<br/>T1548.002 UAC bypass"] D --> E["Movimento Lateral<br/>T1021.001 RDP<br/>T1055 process injection"] E --> F["Comprometimento Bancario<br/>Cobalt Strike C2<br/>sistemas ATM/SWIFT/cards"] F --> G["Saque Massivo<br/>ATM jáckpotting coordenado<br/>SWIFT fraudulento"] style A fill:#1a5276,color:#fff style B fill:#c0392b,color:#fff style C fill:#e67e22,color:#fff style D fill:#8e44ad,color:#fff style E fill:#2980b9,color:#fff style F fill:#16a085,color:#fff style G fill:#196f3d,color:#fff ``` ## Distribuição Geográfica de Alvos ```mermaid pie title Alvos por Região (2016-2024) "Europa Oriental (RU/UA/BY)" : 45 "Ásia Central" : 25 "Europa Ocidental" : 15 "América do Norte" : 10 "Ásia-Pacífico" : 5 ``` ## Campanhas e Operações Notáveis | Data | Operação | Vitimas | Impacto | |------|---------|---------|---------| | 2016-2017 | Campanha ATM Europa Oriental | Bancos Rússia, Ucrânia, Moldova | ATM jáckpotting; US$ milhões por evento | | 2017 | Ataque SWIFT | Banco cazaque | Transferências SWIFT fraudulentas | | 2018 | Supply Chain Attack | Softwares bancários EMEA | Comprometimento de múltiplos bancos via fornecedor | | Mar 2018 | Prisão Espanha | (Infraestrutura do grupo) | Lider preso; operações continuaram | | 2019-2020 | Campanha renovada | Europa Central, Malásia | More_eggs + Cobalt Strike | | 2022-2024 | Continuidade | Leste Europeu | Novas variantes, mesmas TTPs | ## Arsenal Técnico | Ferramenta | Tipo | Função | |-----------|------|--------| | [[s0154-cobalt-strike\|Cobalt Strike]] | C2 Framework | Controle remoto pós-exploração; beacons em redes bancárias | | [[s0284-moreeggs\|More_eggs]] | Backdoor | Loader JavaScript furtivo; entregue via spear-phishing | | [[s0646-spicyomelette\|SpicyOmelette]] | Backdoor | Malware customizado do grupo; uso de DDE para execução | | [[mimikatz\|Mimikatz]] | Credential harvesting | Dump de credenciais LSASS para movimento lateral | | [[psexec\|PsExec]] | Lateral movement | Execução remota em hosts internos comprometidos | | [[s0195-sdelete\|SDelete]] | Anti-forensics | Limpeza de artefatos pós-operação; file deletion segura | ## TTPs em Detalhe ### Acesso Inicial - Spear-phishing direcionado a funcionários financeiros ([[t1566-001-spearphishing-attachment|T1566.001]]) - lures com temas de recrutamento financeiro ou regulatório - Comprometimento de cadeia de fornecimento ([[t1195-002-compromise-software-supply-chain|T1195.002]]) - infecção de softwares bancários legítimos usados pelos alvos - Watering hole attacks em fóruns frequentados por profissionais financeiros ### Evasão de Defesas - Uso de CMSTP ([[t1218-003-cmstp|T1218.003]]), Regsvr32 ([[t1218-010-regsvr32|T1218.010]]) e ODBCCONF ([[t1218-008-odbcconf|T1218.008]]) para execução de payloads sem chamar cmd.exe diretamente - Obfuscação de comandos PowerShell ([[t1027-010-command-obfuscation|T1027.010]]) para bypass de antivírus - Descoberta de soluções de segurança instaladas ([[t1518-001-security-software-discovery|T1518.001]]) antes de cada fase ### Comprometimento de Sistemas Bancários - Acesso a sistemas de controle ATM via movimento lateral e RDP ([[t1021-001-remote-desktop-protocol|T1021.001]]) - Manipulação de parâmetros de transação em interfaces SWIFT - Alteração de configurações de processamento de cartões para aumentar limites de saque ### Anti-Forensics - Deleção de arquivos com [[s0195-sdelete|SDelete]] ([[t1070-004-file-deletion|T1070.004]]) pós-exfiltração - Limpeza de logs de evento Windows para dificultar investigação forense ## Timeline ```mermaid timeline title Cobalt Group - Cronologia 2016 : Primeiras campanhas ATM : Europa Oriental como foco inicial 2017 : Expansão para SWIFT : Cazaquistão e Ásia Central 2018-03 : Prisão do líder na Espanha : Denis Katana capturado 2018-2019 : Reorganização e continuidade : Novas campanhas com More_eggs 2020-2021 : Supply chain attacks : Foco em softwares bancários 2022-2024 : Operações contínuas : Leste Europeu e Ásia ``` ## Relevância para o Brasil e LATAM > [!warning] Risco para Sistema Financeiro Brasileiro > Cobalt Group representa ameaça de risco MODERADO-ALTO para o sistema financeiro brasileiro. O Brasil possui a maior rede de ATMs da América Latina e infraestrutura SWIFT de alto volume via FEBRABAN. O modelo operacional do grupo - spear-phishing a funcionários financeiros + movimento lateral até sistemas ATM e SWIFT - é totalmente replicável contra bancos brasileiros. O Brasil é um alvo atrativo por: - **Maior parque de ATMs da LATAM**: Banco do Brasil, Caixa, Bradesco e Itaú operam dezenas de milhares de ATMs - **Volume SWIFT elevado**: transações internacionais de grandes bancos privados e correspondentes bancários - **Processadoras de cartão**: Cielo, Rede, GetNet processam trilhões em transações anuais - **Menor maturidade de segurança** em bancos de médio porte e cooperativas de crédito comparado a Europa Ocidental Vetores de entrada prioritários para defesa: - Email de funcionários de tesouraria, back-office e TI bancário - Softwares de gestão financeira e ERPs de fornecedores comuns (SAP, TOTVS, Oracle FLEXCUBE) - Acesso remoto (RDP/VPN) a redes de processamento ## Detecção | Indicador | Técnica de Detecção | |-----------|---------------------| | CMSTP, Regsvr32 executando payloads remotos | EDR: alertas para living-off-the-land execução incomum | | Cobalt Strike beacon via HTTPS para IPs desconhecidos | NDR: análise de tráfego TLS para beacons regulares | | PowerShell com comandos ofuscados (Base64 longo) | SIEM: regras para comandos PowerShell com encoding incomum | | Acesso RDP a servidores ATM fora do horário | SIEM: alertas para RDP em horário anômalo ou por usuários incomuns | | SDelete executando em múltiplos arquivos rapidamente | EDR: monitoramento de processo de limpeza em massa | | More_eggs JavaScript loader via Word/Excel macro | EDR: detecção de WScript/CScript lançado por Office | ## Referências - [1](https://attack.mitre.org/groups/G0080/) MITRE ATT&CK - G0080 Cobalt Group (2024) - [2](https://www.europol.europa.eu/media-press/newsroom/news/mastermind-behind-eur-1-billion-cyber-bank-robbery-arrested-in-spain) Europol - Mastermind Behind EUR 1 Billion Cyber Bank Robbery Arrested (2018) - [3](https://www.group-ib.com/blog/cobalt/) Group-IB - Cobalt Strikes Back: An Evolving Multinational Threat (2017) - [4](https://www.crowdstrike.com/blog/the-anatomy-of-a-targeted-ransomware-attack/) CrowdStrike - GOLD KINGSWOOD Profile (2022) - [5](https://www.secureworks.com/research/threat-profiles/gold-kingswood) SecureWorks - GOLD KINGSWOOD Threat Profile (2023) - [6](https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/cobalt-group-uses-google-docs-legitimate-services-for-spear-phishing) Trend Micro - Cobalt Group Uses Google Docs for Spear-Phishing (2019) **Atores relacionados:** [[g0046-fin7|FIN7]] · [[g0008-carbanak|Carbanak]] **Malware e ferramentas:** [[s0154-cobalt-strike|Cobalt Strike]] · [[s0284-moreeggs|More_eggs]] · [[mimikatz|Mimikatz]] **Setores alvejados:** [[financial|Financeiro]] · [[banking|Bancário]]