Lei Feng.com, la notoria organización de hackers MoneyTaker es realmente grande, en realidad robaron $ 1 millón de un banco de la nación en guerra, y la brecha es un enrutador obsoleto.
El ataque fue en PIR Bank, que perdió al menos $ 920,000. El dinero estaba originalmente en la cuenta correspondiente del banco ruso.
En este momento, la empresa rusa de seguridad de redes Group-IB está a cargo de la investigación del incidente de piratería. Después de estudiar las estaciones de trabajo infectadas y los servidores de PIR Bank, concluyeron que MoneyTaker definitivamente está detrás de escena, y no lograron borrar sus rastros después del ataque.
Group-IB está muy familiarizado con las tácticas de MoneyTaker, porque en diciembre del año pasado sacaron la máscara de MoneyTaker a través de un informe.
Además de banco PIR esta votación, MoneyTaker en los EE.UU., los bancos del Reino Unido y las instituciones financieras hicieron caso, se remonta a 2016. Grupo IB señaló, MoneyTaker en los bancos de ataque y las instituciones financieras se centran principalmente en la penetración de los préstamos bancarios y los sistemas de procesamiento de tarjetas, es probablemente el más desafortunados clientes de estaciones de trabajo automático de red en estrella de First Data y el Banco Central de Rusia (AWS CBR) final del sistema Más.
Estos hackers son simplemente maestros del control de procesos.
Grupo IB-encontraron esta MoneyTaker también el truco, a finales de mayo de este año, su éxito en las orillas de la penetración router de red obsoleta por una sucursal del banco PIR.
"El canal del enrutador tiene un problema, lo que permite al atacante acceder directamente a la red local del banco". Los expertos en seguridad de Group-IB explicaron: "Este ataque es simplemente la etiqueta MoneyTaker, el mismo método que han usado al menos tres veces. . '
Con el avance del enrutador, los piratas informáticos lograron infectar la red local del banco con malware. Luego, con la ayuda de scripts de PowerShell, pueden llevar a cabo sus actividades pecaminosas sin saberlo.
Después de completar la penetración de la red principal del banco PIR, MoneyTaker también accedió con éxito a la cuenta AWS CBR del banco, para que controlaran las transacciones financieras del banco.
El 3 de julio, MoneyTaker comenzó a usar el sistema para transferir dinero. Transfirieron $ 92 millones de la cuenta bancaria de PIR en el banco ruso a las 17 cuentas abiertas previamente. El dinero acaba de ser retirado, y la gente de MoneyTaker inmediatamente 4. El dinero fue retirado de cajeros automáticos en toda Rusia, y la eficiencia fue asombrosa.
Un día después, los empleados de PIR Bank descubrieron que la cuenta del banco había sido vaciada, y que todo era demasiado tarde.
Cuando MoneyTaker comete el delito, los hackers involucrados en el ataque solían vaciar los registros de la computadora infectada para ocultar su paradero. Sin embargo, esta vez, Group-IB descubrió el acceso de los hackers a la computadora infectada.
Este año, MoneyTaker y los bancos rusos se están fortaleciendo.
Esta no es la primera vez que MoneyTaker ataca a los bancos rusos. Al comienzo de este año se hicieron con las manos, pero al final no lograron obtener su propia "fruta de la victoria". Según las estadísticas del Grupo IB, al menos 3 han sucedido en Rusia este año. Eventos similares, pero no anunciarán los detalles hasta el final de la investigación. Group-IB cree que al menos dos de ellos son hechos por MoneyTaker.
De hecho, los rastros de MoneyTaker son difíciles de rastrear, porque les gusta usar herramientas de sistema operativo comunes para realizar ataques maliciosos. Los ataques de malware especializado no son su estilo. Además, borrarán el registro después de cometer el delito, y están lanzando Antes del ataque, la red y el sistema del banco víctima se estudiarán en detalle. Para conocernos a nosotros mismos y a los demás, MoneyTaker incluso robará los documentos bancarios por adelantado para que se entiendan entre sí.
En los tres años desde que MoneyTaker se convirtió en militar, al menos decenas de millones de dólares han sido robados de los bancos. Group-IB dijo que cuando MoneyTaker comete delitos en los Estados Unidos, toma un promedio de $ 500,000 cada vez, y en Rusia este número aumentará a 120. Diez mil dólares.
Lei Feng descubrió que en los últimos tres años, MoneyTaker ha ennegrecido a 15 bancos estadounidenses, 1 proveedor de servicios de EE. UU., 1 compañía de software de banca británica, 5 bancos rusos y 1 compañía de derecho rusa.