Group-IB объявила о раскрытии деятельности русскоязычной хакерской группировки MoneyTaker. Всего за полтора года эта группа провела 20 успешных атак на банки и другие юридические организации на территории США, России и Великобритании. Основными мишенями хакеров в банках являются системы карточного процессинга, а также система межбанковских переводов: российская АРМ КБР (автоматизированное рабочее место клиента Банка России) и, предположительно, американская система SWIFT. По данным системы Threat Intelligence Group-IB, уже в ближайшее время целью MoneyTaker могут стать финансовые организации в Латинской Америке.
MoneyTaker также атакует адвокатские конторы и производителей финансового программного обеспечения. В целом, на счету MoneyTaker 16 атак на компании США, три – на банки России и одна – в Великобритании. В США средний ущерб от одной атаки составляет 500 тыс долл. В России средний объем извлеченных группой денежных средств вследствин компрометации АРМ КБР – 72 млн руб.
Группа долгое время оставалась незамеченной используя обширный арсенал инструментов, позволяющих обходить антивирусные и антиспам системы, уничтожать любые следы атаки и значительно затруднять исследование инцидентов постфактум.
Первая атака, с которой связана эта группа, была проведена весной 2016 года, когда из банка США были похищены деньги в результате получения доступа к системе карточного процессинга STAR компании FirstData. В августе 2016 года они взломали один из банков в России, где использовали программу для автоматического перевода денег через систему межбанковских переводов Центрального банка России АРМ КБР.
Всего же за 2016 года Group-IB зафиксировала 10 атак, реализованных MoneyTaker: шесть – на банки в США, одна – на американского поставщика ИТ-услуг, одна – на банк Англии и две – на российские банки. Лишь одна из них – в российском банке – была оперативно выявлена и предотвращена.
MoneyTaker всегда стараются похищать внутреннюю документацию по работе с банковскими системами во всех странах: руководства администраторов, внутренние инструкции и регламенты, формы заявок на внесение изменений, журналы транзакций и т.п.
Информация о деятельности группы MoneyTaker направлена компанией Group-IB в Европол, Интерпол и МВД.