Dubaissa toimiva yritys Group-IB esitti raportin, jossa paljastettiin hakkereiden ryhmä, joka veti laittomasti varoja pankkitileiltä ympäri maailmaa.
Ryhmä-IB, johtava tieto- ja tietoverkkoturvapalvelujen tarjoaja, jolla on toimipisteet Arabiemiirikunnissa (Dubai) ja Venäjällä (Moskova), on julkaissut raportin, jossa kuvataan yksityiskohtaisesti MoneyTaker-nimisen venäjänkielisen hakkeriryhmän vilpilliset järjestelmät. .
Alle kahdessa vuodessa MoneyTaker-verkkorikollisten ryhmä teki yli 20 onnistunutta hyökkäystä finanssi- ja lakitoimistoihin ympäri maailmaa. Huolimatta siitä, että ryhmä hyökkäsi menestyksekkäästi useiden pankkien kimppuun eri maissa, niistä ei ilmoitettu yleisölle. Vaihtamalla jatkuvasti työkalunsa ja taktiikkansa ohittaakseen viruksia ja turvajärjestelmiä ja mikä tärkeintä, peittämällä huolellisesti tunkeutumisen jäljet, ryhmä onnistui jäämään huomaamatta pitkään.
Ryhmä-IB: n mukaan hakkerit suorittivat ensimmäisen hyökkäyksensä Yhdysvalloissa toukokuussa 2016, kun taas jälkimmäinen tapahtui viimeksi - marraskuussa 2017 Venäjällä.
"MoneyTaker käyttää julkisesti saatavilla olevia työkaluja, mikä vaikeuttaa huomattavasti hyökkäysten tunnistamista ja tutkinnan suorittamista", sanoo ryhmä-IB: n perustaja ja älykkään tietojenkäsittelyn johtaja Dmitri Volkov. "Lisäksi hyökkäyksiä tapahtui eri puolilla maailmaa. Ryhmän IB asiantuntijat ehdottavat, että lähitulevaisuudessa tapahtuu uusia hyökkäyksiä. Siksi riskin vähentämiseksi he laativat raportin, joka sisältää kuvaus hakkereiden käyttämistä menetelmistä ja työkaluista sekä perusteet, joiden avulla määritetään olet MoneyTakerin uhri. "
Ryhmä-IB onnistui tunnistamaan kaikkien 20 hyökkäystapauksen välisen suhteen vuosina 2016 ja 2017 käyttämällä omaa tietoturvauudistusjärjestelmää. Yhteyksiä löytyi paitsi käytetyistä työkaluista, myös hajautetusta infrastruktuurista, konsernin käyttämässä ohjelmistosarjan kertaluontoisissa komponenteissa. Ryhmä-IB kuvaa myös erityisiä nosto-ohjelmia - yksilöllisten tilien käytön kullekin tapahtumalle. Toinen ryhmän erottuvuus on, että varkauden jälkeen hyökkääjät jatkavat petettyjen pankkien tarkkailua, ohjaamalla yritysviestit ja muut asiakirjat postilaatikoihin Yandex- ja Mail.ru-resursseissa.
