Найти тему
OSP.ru

Хакеры-невидимки атаковали банки в России и США

Русскоязычная хакерская группировка MoneyTaker действует с начала весны 2016 года, но ранее оставалась незамеченной, благодаря обширному арсеналу хакерских инструментов, позволяющих заметать следы.

Group-IB объявила о раскрытии деятельности русскоязычной хакерской группировки MoneyTaker. Всего за 1,5 года эта группа провела 20 успешных атак на банки и другие юридические организации на территории США, России и Великобритании. Основными мишенями хакеров в банках являются системы карточного процессинга, а также система межбанковских переводов: российская АРМ КБР (автоматизированное рабочее место клиента Банка России) и, предположительно, американская система SWIFT. По данным системы Threat Intelligence Group-IB, уже в ближайшее время целью MoneyTaker могут стать финансовые организации в Латинской Америке.

MoneyTaker также атакует адвокатские конторы и производителей финансового программного обеспечения. В целом, на счету MoneyTaker 16 атак на компании США, 3 – на банки России и 1 – в Великобритании. В США средний ущерб от одной атаки составляет 500 тыс долл. В России средний объем извлеченных группой денежных средств в следствии компрометации АРМ КБР – 72 млн руб.

Группа долгое время оставалась незамеченной используя обширный арсенал инструментов, позволяющих обходить антивирусные и антиспам системы, уничтожать любые следы атаки и значительно затруднять исследование инцидентов постфактум.

Первая атака, с которой связана эта группа, была проведена весной 2016 года, когда из банка США были похищены деньги в результате получения доступа к системе карточного процессинга STAR компании FirstData. В августе 2016 года они взломали один из банков в России, где использовали программу для автоматического перевода денег через систему межбанковских переводов Центрального банка России АРМ КБР.

Всего же за 2016 года Group-IB зафиксировала 10 атак, реализованных MoneyTaker: 6 – на банки в США, 1 – на американского провайдера ИТ-услуг, 1 – на банк Англии и 2 – на российские банки. Лишь одна из них – в российском банке – была оперативно выявлена и предотвращена.

С 2017 году география сузилась до России и США.

MoneyTaker всегда стараются похищать внутреннюю документацию по работе с банковскими системами во всех странах: руководства администраторов, внутренние инструкции и регламенты, формы заявок на внесение изменений, журналы транзакций и т.п.

Информация о деятельности группы MoneyTaker направлена компанией Group-IB в Европол, Интерпол и МВД.