«Русские хакеры» MoneyTaker ограбили банки России, США и Великобритании

Хакерская группировка MoneyTaker, члены которой предположительно являются русскоговорящими, за последние полтора года совершила 20 успешных кибератак на банки России, США и Великобритании. Как следует из отчета компании Group-IB, которая сумела установить связь между всеми инцидентами, деятельность мошенников находится в активной фазе, так что не исключены новые хищения.

Мастера маскировки

Как правило, группировка MoneyTaker атакует системы карточного процессинга и переводов между банками — в частности одной из жертв хакеров стало автоматизированное рабочее место клиента Центрального банка России (АРМ КБР).

Всего специалисты выявили 16 успешных атак на американские компании, три — на российские и одну — в Великобритании. Отмечается, что всего один взлом из двадцати был вовремя выявлен внутренней системой безопасности банка, благодаря чему киберпреступление было предотвращено.

В среднем каждая успешная атака в США приносит злоумышленникам $500 тыс.

А вот компрометация системы АРМ КБР была оценена в 72 млн руб. — именно такую сумму удалось вывести хакерской группировке.

География атак пока сосредоточена в трех странах мира, но эксперты не исключают, что следующей целью MoneyTaker станут финансовые организации государств Латинской Америки.

Деятельность MoneyTaker долгое время оставалась вне радаров, так как хакеры позаботились не только об инструментах для взлома систем, но и о путях отхода: они тщательно уничтожают любые оставленные следы, затрудняя расследование. Тем не менее, ИБ-специалисты смогли найти схожие паттерны в инфраструктуре и тактике злоумышленников, придя к выводу, что за всеми 20 киберинцидентами стоит одна и та же группировка.

«Газета.Ru» связалась с руководителем департамента киберразведки Group-IB Дмитрием Волковым, который заявил, что MoneyTaker скорее всего являются русскоговорящими хакерами. Он объяснил это тем фактом, что

почти все атаки на российские банки осуществляются с помощью носителей русского языка — его знание может оказаться решающим фактором при взломе закрытых систем.

Кроме того, исследователи смогли установить, что MoneyTaker арендовали серверы на территории России и пользовались почтой «Яндекса» и Mail.Ru. Эти находки дают основания полагать, что MoneyTaker можно причислить к так называемым «русским хакерам», которыми в прессе пугают американцев и европейцев. Впрочем, пока никаких доказательств связи этой группировки с российскими спецслужбами не найдено.

«Атаки прошли в фоновом режиме»

Финансовый сектор является лакомым куском для киберпреступников, чьей целью является получение финансовой выгоды, а не кража личных данных. За последние пять лет эксперты зафиксировали несколько крупных кибервзломов, направленных на банки, в том числе в США, Южной Корее и России.

Например, осенью 2016 года имела место массовая хакерская атака, целями которой стали Сбербанк, Альфа-банк, Банк Москвы и другие крупные российские компании. Кроме того, некоторые кредитно-финансовые организации России стали жертвами глобального вируса WannaCry в мае текущего года. После этого инцидента Центробанк пообещал выпускать рекомендации по снижению риска кибератак на российский финансовый сектор.

Ранее заместитель начальника главного управления безопасности и защиты информации Банка России Артем Сычев отметил, что

атаки вирусов в 2017 году не причинили существенного ущерба российскому банковскому сектору.

«Атаки шифровальщиков для банковской отрасли прошли, что называется, в фоновом режиме. Даже не очень крупные банки, которые фактически не могут уделять большого внимания информационной безопасности, и то подобные атаки сумели отразить. И реально по финансовой системе вообще практически никакого ущерба эти атаки не нанесли», — заявил Сычев.

Технический директор Check Point Software Technologies Никита Дуров в беседе с «Газетой.Ru» отметил, что на сегодняшний день для банков вопрос информационной безопасности стоит особенно остро.

«Ежедневно их услугами пользуются миллионы людей, поэтому хакеры так стремятся взломать их защиту. Кроме того, компрометация онлайн-банкинга приведет к подрыву доверия клиентов как к отдельному банку, так и к самой модели дистанционного банковского обслуживания. Взлом информационной безопасности банка даст злоумышленникам возможность получить данные о пользователях, а значит обеспечит доступ к их счетам и операциям», — добавил эксперт.

Руководитель поддержки продаж ESET Russia Виталий Земских сообщил, что большинство хакерских атак на финансовый сектор строятся на человеческом факторе – социальной инженерии. Возможны другие варианты – атакующие могут изучить внешние веб-сервисы организации, с их помощью попасть в периметр, расширить права в системе, провести разведку и выполнить атаку.

Еще одно слабое звено – банкоматы, которые также подвержены рискам, связанным с вредоносным ПО, уязвимостями и эксплойтами.

«До недавнего времени некоторые банки следили преимущественно за защитой банкоматов от физического ущерба (кражи, подрыва и пр.), а безопасности ПО уделяли меньше внимания. Эта недоработка была использована в кибератаках», — считает Земских.