Международная компания по предотвращению и расследованию киберпреступлений Group-IB сообщила о выявлении новой русскоязычной группировки MoneyTaker, пишет «Коммерсант». Группировка атакует банки с прошлого года. За это время она успела совершить около 20 атак преимущественно на банки России, США и Великобритании. Однако раскрыть группировку получилось только сейчас, сопоставив указанные инциденты.

Выяснилось, что MoneyTaker (МТ) использовала серверы в России, поэтому группировку и отнесли к российским хакерам.

Сейчас уже известны основные приемы МТ: хакеры устанавливают на серверы законные инструменты, которые банки обычно используют для проведения тестов на проникновение в систему. Однако сервер злоумышленников другой: он не ищет атаки, а управляет ими.

Помимо этого, хакеры используют программы, которые работают только в оперативной памяти и уничтожаются после перезагрузки компьютера.

На вооружении МТ есть и собственные программы: среди них, например, MoneyTaker v5.0.

В Group-IB рассказали:

«Эта программа ищет нужные платежки, модифицирует их, а затем заметает следы. После того как и платеж прошел, программа меняет реквизиты злоумышленников на первоначальные. То есть деньги уходят хакерам, а в программе банка отображается платеж по реквизитам клиента».

Потом хакеры МТ продолжают шпионить за банком, используя данные, полученные во время атаки.

Всего на российские банки группировка совершила три атаки, две из которых оказались успешными. Сумму хищений в Group-IB не раскрыли, сообщив только среднюю результативность атак хакеров на российские банки – 72 млн рублей.

Эксперты не исключают, что хакеры уже проникли и в другие банки. Очевидным моментам для атак в России эксперты считают канун Нового года, на который приходится пик платежей.

В Group-IB сообщили, что данные о собранной информации были направлены в FinCERT 8 декабря. Уже в ближайшее время там примут меры для защиты российских банков.

Начальник управления ИБ Златкомбанка Александр Виноградов отметил:

«В рамках подписанных соглашений о взаимодействии Group-IB должна раскрыть FinCERT всю информацию об этой группировке и ее атаках, и тогда ЦБ доведет эту информацию до банков, чтобы те были предупреждены».