Компания Group-IB, занимающаяся вопросами кибербезопасности, сообщила о выявлении новой группировки русскоязычных хакеров, которая атакует банки по всему миру, пишет газета "Коммерсант". Факт существования MoneyTaker также подтвердили представители коммерческого центра по мониторингу и реагированию на инциденты ИБ Solar JSOC.
По данным экспертов, группировка, получившая название MoneyTaker, работает с 2016 года и за это время успела совершить около 20 атак на банки в России, США и Великобритании. Узнать о существовании группировки специалистам удалось только сейчас, сопоставив ряд инцидентов. В пользу того, что членами MoneyTaker являются российские хакеры, говорит факт использования группировкой серверов, расположенных на территории России, а также ряд других признаков, которые в компании не разглашают.
К настоящему времени специалистам удалось определить основные приемы атак группировки. Хакеры устанавливают на серверы легитимные инструменты, используемые банками для проведения тестов на проникновение в систему, однако сервер злоумышленников не ищет атаки, а управляет ими. Помимо этого, хакеры используют так называемые бестелесные программы, которые работают только в оперативной памяти и уничтожаются после перезагрузки. Наконец, на вооружении MoneyTaker есть и собственные инструменты. Так, в ходе атаки на неназванный российский банк злоумышленники использовали программу MoneyTaker v5.0.
"Эта программа ищет нужные платежки, модифицирует их, а затем заметает следы. После того как платеж прошел, программа меняет реквизиты злоумышленников на первоначальные. То есть деньги уходят хакерам, а в программе банка отображается платеж по реквизитам клиента", - пояснили в Group-IB, отметив, что после удачной атаки хакеры продолжают шпионить за банком, используя данные, полученные во время атаки.
Как отметил операционный директор Solar JSOC Антон Юдаков, после проникновения в банковскую инфраструктуру MoneyTaker не спешит с активными действиями - хакеры выясняют устройство банковской системы, чтобы осуществить максимально возможное хищение.
Как выяснили в Group-IB, за время своего существования группировка совершила три атаки на российские банки, две из которых закончились успехом. Среднюю результативность атак хакеров на российские банки эксперты оценивают в 72 млн рублей, но не раскрывают точные суммы хищений. При этом источник издания в правоохранительных органах сообщил, что ни одного уголовного дела по факту хищения или попытки хищения средств группировкой MoneyTaker возбуждено не было.
"Инциденты происходят в разных странах мира, один из банков злоумышленники ограбили дважды, что говорит о недостаточном качестве расследования первого нападения, мы не исключаем новых хищений", - отметил руководитель департамента киберразведки Group-IB Дмитрий Волков.
Group-IB проинформировала о деятельности хакеров Интерпол и Европол 8 декабря, а также направила информацию о MoneyTaker в Центр мониторинга и реагирования на кибератаки в финансовой сфере ЦБ (FinCERT), который может предпринять меры для защиты российских банков от новых атак хакеров.