Group-IB сообщила о раскрытии русскоязычной хакерской группировки MoneyTaker. По информации компании, за 1,5 года эта группа загадочно провела 20 удачных атак на банки и те юридические организации на территории США, России и Великобритании.
Как сообщает Group-IB, в банках хакеры нападали системы карточного процессинга и системы межбанковских переводов - в частности, российскую АРМ КБР (автоматизированное рабочее место клиента "Банка России") и на глазок американскую систему SWIFT. В компании полагают, что дальше целью MoneyTaker могут стать финансовые организации в Латинской Америке.
«На счету MoneyTaker 16 атак на компании США, 3 — на банки России и 1 — в Великобритании, - перечисляют в Group-IB. - В США средний ущерб от одной атаки составляет 500 тысяч долларов. В России средний объем извлеченных группой денежных средств с подачи компрометации АРМ КБР — 72 млн. рублей».
Как рассказал руководитель департамента киберразведки Group-IB Дмитрий Волков, первая атака, с которой связана эта группа, была проведена весной 2016 года, когда из банка США были похищены деньги на выходах получения доступа к системе карточного процессинга STAR компании FirstData. В начале августа 2016 года группой был взломан один из банков в России, где использовалась программа для автоматического перевода денег через систему межбанковских переводов Центрального банка России АРМ КБР.
В целом, за 2016-й год Group-IB зафиксировала 10 атак, реализованных MoneyTaker: 6 на банки в США, 1 на американского провайдера ИТ-услуг, 1 на банк Англии и 2 — на российские банки. Лишь одна из них — в российском банке — была оперативно выявлена и предотвращена. «С 2017 года география сужается до России и США, общее количество атак прежнее: на американские банки (8), адвокатскую контору (1), банки России (1), - говорит Дмитрий Волков. - В результате мы обнаружили связи между всеми 20 инцидентами».
«Невидимой» группе удавалось оставаться, так как хакеры использовали арсенал приборов, позволяющих класть в основу антивирусные и антиспам системы, ликвидировать любые следы атаки и значительно затруднять исследование инцидентов постфактум.