Эксперты сообщили о новой группировке русскоязычных хакеров, атакующей банки

Компания Group-IB, занимающаяся вопросами кибербезопасности, сообщила о выявлении новой группировки русскоязычных хакеров, которая атакует банки по всему миру, пишет газета "Коммерсант" . Факт существования MoneyTaker также подтвердили представители коммерческого центра по мониторингу и реагированию на инциденты ИБ Solar JSOC. По данным экспертов, группировка, получившая название MoneyTaker работает с 2016 года и за это время успела совершить около 20 атак на банки в России, США и Великобритании. Узнать о существовании группировки специалистам удалось только сейчас, сопоставив ряд инцидентов. В пользу того, что членами MoneyTaker являются российские хакеры, говорит факт использования группировкой серверов, расположенных на территории России, а также ряд других признаков, которые в компании не разглашают. К настоящему времени специалистам удалось определить основные приемы атак группировки. Хакеры устанавливают на серверы легитимные инструменты, используемые банками для проведения тестов на проникновение в систему, однако сервер злоумышленников не ищет атаки, а управляет ими. Помимо этого, хакеры используют так называемые "бестелесные" программы, которые работают только в оперативной памяти и уничтожаются после перезагрузки. Наконец, на вооружении MoneyTaker есть и собственные инструменты. Так в ходе атаки на неназванный российский банк злоумышленники использовали программу MoneyTaker v5.0. "Эта программа ищет нужные платежки, модифицирует их, а затем заметает следы. После того как платеж прошел, программа меняет реквизиты злоумышленников на первоначальные. То есть деньги уходят хакерам, а в программе банка отображается платеж по реквизитам клиента", – пояснили в Group-IB, отметив, что после удачной атаки хакеры продолжают шпионить за банком, используя данные, полученные во время атаки. Как отметил операционный директор Solar JSOC Антон Юдаков, после проникновения в банковскую инфраструктуру MoneyTaker не спешит с активными действиями – хакеры выясняют устройство банковской системы, чтобы осуществить максимально возможное хищение. Как выяснили в Group-IB, за время своего существования группировка совершила три атаки на российские банки, две из которых закончились успехом. Среднюю результативность атак хакеров на российские банки эксперты оценивают в 72 млн рублей, но не раскрывают точные суммы хищений. При этом источник издания в правоохранительных органах сообщил, что ни одного уголовного дела по факту хищения или попытки хищения средств группировкой MoneyTaker возбуждено не было. "Инциденты происходят в разных странах мира, один из банков злоумышленники ограбили дважды, что говорит о недостаточном качестве расследования первого нападения, мы не исключаем новых хищений", — отметил руководитель департамента киберразведки Group-IB Дмитрий Волков. Group-IB проинформировала о деятельности хакеров Интерпол и Европол 8 декабря, а также направила информацию о MoneyTaker в Центр мониторинга и реагирования на кибератаки в финансовой сфере ЦБ (FinCERT), который может предпринять меры для защиты российских банков от новых атак хакеров. Ссылка на источник