Выявлена новая группировка российских хакеров, грабящая банки по всему миру

Эксперты выявили новую группировку российских хакеров MoneyTaker (МТ)

MoneyTaker работает с 2016 года и за это время успела совершить около 20 атак преимущественно на банки в России, США и Великобритании, но раскрыть группировку удалось только сейчас, информирует "ДС" со ссылкой на "Коммерсант".

В международной компании по предотвращению и расследованию киберпреступлений Group-IB отнесли MoneyTaker к российским хакерам, так как в ходе расследования выяснилось, что они использовали серверы в России.

"Есть и другие признаки, указывающие на то, что один или несколько членов МТ русскоговорящие, однако мы не разглашаем их, так как продолжаем работу над раскрытием инцидентов", - пояснили в Group-IB.

Хакеры МТ устанавливают на серверы легитимные инструменты, используемые банками для проведения тестов на проникновение в систему. Однако сервер преступников имеет принципиальное отличие: он не ищет атаки, а управляет ими. Кроме того, хакеры используют "бестелесные" программы, которые работают только в оперативной памяти и уничтожаются после перезагрузки.

Есть на вооружении МТ и собственные программы, например, в атаке на один из российских банков (название не раскрывается) они использовали программу MoneyTaker v5.0. Эта программа ищет нужные платежки, модифицирует их, а затем заметает следы. После того как и платеж прошел, программа меняет реквизиты злоумышленников на первоначальные. То есть деньги уходят хакерам, а в программе банка отображается платеж по реквизитам клиента. После удачной атаки хакеры МТ продолжают шпионить за банком, используя данные, полученные во время атаки.

Отмечается, что злоумышленники из МТ не размениваются по мелочам, также они терпеливы и всегда выжидают удобный момент, даже если им уже удалось проникнуть в систему. 

На российские банки за время работы группировки было совершено три атаки, две из которых закончились успехом. При этом все атаки шли на систему межбанковских переводов через АРМ КБР (автоматизированное рабочее место клиента Банка России, через него платежи уходят из банка в ЦБ). Сумму хищений в Group-IB не раскрывают, сообщая лишь, что средняя результативность атак хакеров на российские банки - 72 млн руб. Учитывая терпеливость хакеров МТ, эксперты не исключают, что они уже проникли и в другие банки, но выжидают удобного момента.

В Group-IB сообщили, что проинформировали Интерпол и Европол о собранной информации 8 декабря, тогда же были направлены данные в FinCERT.