Виявлена нова угруповання російських хакерів, грабящая банки по всьому світу

MoneyTaker працює з 2016 року і за цей час встигла скоїти близько 20 атак переважно на банки в Росії, США і Великобританії, але розкрити угруповання вдалося тільки зараз, інформує "ДС" з посиланням на "Комерсант".

У міжнародній компанії щодо запобігання та розслідування кіберзлочинів Group-IB віднесли MoneyTaker до російських хакерів, так як в ході розслідування з'ясувалося, що вони використовували сервери в Росії.

"Є й інші ознаки, що вказують на те, що один або кілька членів МТ російськомовні, проте ми не розголошуємо їх, так як продовжуємо роботу над розкриттям інцидентів", - пояснили в Group-IB.

Хакери МТ встановлюють на сервери легітимні інструменти, що використовуються банками для проведення тестів на проникнення в систему. Однак сервер злочинців має принципову відмінність: він не шукає атаки, а керує ними. Крім того, хакери використовують "безтілесні" програми, які працюють тільки в оперативній пам'яті і знищуються після перезавантаження.

Є на озброєнні МТ і власні програми, наприклад, в атаці на один із російських банків (ім'я не розкривається) вони використовували програму MoneyTaker v5.0. Ця програма шукає потрібні платіжки, модифікує їх, а потім замітає сліди. Після того як платіж пройшов, програма змінює реквізити зловмисників на початкові. Тобто гроші йдуть хакерам, а в програмі банку відображається платіж за реквізитами клієнта. Після вдалої атаки хакери МТ продовжують шпигувати за банком, використовуючи дані, отримані під час атаки.

Відзначається, що зловмисники з МТ не розмінюються на дрібниці, також вони терплячі і завжди вичікують зручний момент, навіть якщо їм вже вдалося проникнути в систему.

На російські банки за час роботи угруповання було скоєно три атаки, дві з яких закінчилися успіхом. При цьому всі атаки йшли на систему міжбанківських переказів через АРМ КБР (автоматизоване робоче місце клієнта Банку Росії, через нього платежі йдуть з банку в ЦП). Суму розкрадань в Group-IB не розкривають, повідомляючи лише, що середня результативність атак хакерів на російські банки - 72 млн руб. Враховуючи терплячість хакерів МТ, експерти не виключають, що вони вже проникли і в інші банки, але вичікують зручного моменту.

У Group-IB повідомили, що проінформували Інтерпол і Європол про зібраної інформації 8 грудня, тоді ж були направлені дані в FinCERT.