Grupa MoneyTaker ukrala od prošle godine milione dolara od američkih i ruskih banaka

Vesti, 13.12.2017, 10:30 AM

Grupa MoneyTaker ukrala od prošle godine milione dolara od američkih i ruskih banaka

Grupa sajber kriminalaca za koju se veruje da deluje sa teritorija ruskog govornog područja hakovala je najmanje 20 banaka i kompanija od kojih je ukrala milione američkih dolara, objavila je ruska firma Group-IB koja se bavi sajber bezbednošću.

Istraživači iz ove firme kažu da se ova grupa razlikuje od drugih naprednih kriminalnih organizacija koje su u prošlosti napadale finansijski sektor, kao što su Carbanak, Cobalt i Lazarus grupa. Oni su ovu grupu nazvali MoneyTaker po hakerskim alatima koje grupa koristi od 2016. godine kada je počela sa radom.

Te godine, maja meseca, grupa je napala svoj prvi cilj, banku na Floridi. Od tada, MoneyTaker je napala 14 američkih banaka, jednu američku kompaniju, jednu britansku kompaniju, 3 ruske banke i jednu rusku advokatsku firmu.

Napadi na banke bile su fokusirani na infiltraciju u transfere novca između banaka i u sisteme za obradu platnih kartica, kao što su First Data STAR Network i AWS CBR sistem Ruske centralne banke. Napadači bi se infiltrirali u jedan računar, a zatim se širili bočno, prikupljajući sve fajlove i lozinke koje su mogli da nađu, u nadi da će kompromitovati računar sa pristupom STAR ili CBR mrežama.

Dokazi koje je prikupila firma Group-IB sugerišu da su napadači ciljno pretraživali i krali internu dokumentaciju kako bi se informisali o načinu rada banaka i pripremili za buduće napade. U nekim slučajevima, napadači su ukrali i dokumente o SWIFT-u, drugom sistemu medjubankarskog transfera novca i fajlove o FedLinku OceanSystemsa, sistemu za obradu kartica koji je široko primenjen u Latinskoj Americi.

Kada je reč o hakerskom delu napada grupe MoneyTaker, istraživači kažu da je bilo veoma teško istraživati aktivnosti hakera. Napadači su koristili obične i legitimne aplikacije za obavljanje svog posla i široki arsenal malvera. Svaki napad je bio drugačiji, što pokazuje da je grupa detaljno proučavala svaki cilj i primenjivala određene alate odgovarajuće za te ciljeve.

Napadači nikada nisu bili usredsređeni na samo jedan bankarski sistem već su krali novac iz sistema za obradu kartica, iz ATM mreža, pa čak i instalirali POS (Point-of-Sale) trojance. Grupa je koristila malver MoneyTaker za napade na banke, ScanPOS malver za POS sisteme, prilagođene alate za snimanje ekrana i kucanja po tastaterima i Citadel i Kronos bankarske trojance za bočno kretanje unutar mreža. Pored toga, grupa je koristila i SSL sertifikate generisane u ime velikih brendova za potpisivanje svojih malvera, jednokratne Yandex i Mail.ru email naloge, i mule za podizanje ukradenog novca.

Napadači su se trudili da obrišu svoje ulazne tačke, pa Group-IB nije bila u mogućnosti da pronađe inicijalni vektor infekcije. MoneyTaker je koristila jedinstvenu komandno-kontrolnu infrastrukturu koja nije postavljala nikakav maliciozni softver osim ako zahtev za preuzimanje nije dolazio iz opsega IP adresa ciljane banke.

Istraživači iz Group-IB rekli su da su sve podatke koje su prikupili o ovoj grupi prosledili Europolu i Interpolu, jer oni veruju da to neće biti poslednji put da čujemo o delovanju grupe MoneyTaker.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Korisnici iPhonea mete napada upitima za resetovanje lozinke

Korisnici iPhonea mete napada upitima za resetovanje lozinke

Sofisticirana phishing kampanja koja cilja korisnike iPhonea poslednjih meseci ukazala je na slabost u Appleovom mehanizmu za resetovanje lozinke. Pre... Dalje

Mobi Banka upozorava na pokušaje prevare na društvenim mrežama

Mobi Banka upozorava na pokušaje prevare na društvenim mrežama

Mobi Banka je upozorila korisnike da su se na društvenim mrežama pojavili lažni profili koji koriste ime i logo Mobi Banke i pozivaju korisnike da,... Dalje

Googleova AI pretraga preporučuje korisnicima opasne sajtove i prevare

Googleova AI pretraga preporučuje korisnicima opasne sajtove i prevare

Ranije ovog meseca, Google je počeo da uvodi novu funkciju pod nazivom Google Search Generative Experience (SGE) u rezultate pretrage, koja pruža br... Dalje

Lažne ponude popularnog leka Ozempic preplavile internet, stručnjaci upozoravaju na fišing prevare

Lažne ponude popularnog leka Ozempic preplavile internet, stručnjaci upozoravaju na fišing prevare

Stručnjaci kompanije Kaspersky upozorili su na alarmantan trend pojave fišing stranica koje se predstavljaju kao sajtovi legitimnih prodavaca koji n... Dalje

Uvedene sankcije protiv tri berze kriptovaluta zbog pomoći Rusiji

Uvedene sankcije protiv tri berze kriptovaluta zbog pomoći Rusiji

Kancelarija za kontrolu strane imovine američkog Ministarstva finansija (OFAC) sankcionisala je tri berze kriptovaluta zbog nuđenja usluga koje se k... Dalje