Grupa IB z siedzibą w Dubaju przedstawiła raport ujawniający grupę hakerów, którzy nielegalnie wycofali środki z kont bankowych na całym świecie.
Group-IB, wiodący dostawca usług w zakresie informacji i bezpieczeństwa cybernetycznego z biurami w Zjednoczonych Emiratach Arabskich (Dubaj) i Rosji (Moskwa), opublikował raport opisujący oszukańcze plany rosyjskojęzycznej grupy hakerów znanej jako MoneyTaker .
W ciągu niespełna dwóch lat zespół cyberprzestępców MoneyTaker przeprowadził ponad 20 udanych ataków na firmy finansowe i prawne na całym świecie. Pomimo faktu, że grupa z powodzeniem przeprowadziła szereg ataków na kilka banków w różnych krajach, nie zostały one zgłoszone opinii publicznej. Grupie, ciągle zmieniając narzędzia i taktykę, aby ominąć programy antywirusowe i systemy bezpieczeństwa, a co najważniejsze, ostrożnie maskując ślady włamań, grupa pozostała niezauważona przez długi czas.
Według Group-IB hakerzy przeprowadzili swój pierwszy atak w Stanach Zjednoczonych w maju 2016 r., A ten ostatni miał miejsce ostatnio - w listopadzie 2017 r. W Rosji.
„MoneyTaker używa narzędzi, które są publicznie dostępne, co znacznie komplikuje proces identyfikowania ataków i prowadzenia dochodzenia”, mówi Dmitry Volkov, współzałożyciel Group-IB i dyrektor inteligentnego przetwarzania danych. „Ponadto ataki miały miejsce w różnych regionach świata. Eksperci Grupy IB sugerują, że w najbliższej przyszłości będą miały miejsce nowe ataki, dlatego w celu zmniejszenia ryzyka przygotowali raport zawierający opis metod i narzędzi używanych przez hakerów, a także kryteria, według których można ustalić, że jesteś ofiarą MoneyTaker ”.
Korzystając z własnego systemu analizy zagrożeń bezpieczeństwa, Group-IB udało się zidentyfikować związek między wszystkimi 20 przypadkami ataków w 2016 i 2017 r. Połączenia znaleziono nie tylko w użytych narzędziach, ale także w infrastrukturze rozproszonej, jednorazowych komponentach w zestawie oprogramowania wykorzystywanym przez grupę, Grupa IB opisuje także konkretne schematy wypłat - wykorzystanie unikatowych kont dla każdej transakcji. Inną charakterystyczną cechą grupy jest to, że po kradzieży napastnicy nadal monitorują oszukane banki, przekierowując firmowe wiadomości e-mail i inne dokumenty do skrzynek pocztowych na zasobach Yandex i Mail.ru.
