A empresa Group-IB, sediada em Dubai, apresentou um relatório expondo um grupo de hackers que retiraram ilegalmente fundos de contas bancárias em todo o mundo.
O Group-IB, fornecedor líder de serviços de informação e segurança cibernética com escritórios nos Emirados Árabes Unidos (Dubai) e Rússia (Moscou), publicou um relatório detalhando os esquemas fraudulentos de um grupo hacker de língua russa conhecido como MoneyTaker .
Em menos de dois anos, uma equipe de cibercriminosos da MoneyTaker realizou mais de 20 ataques bem-sucedidos contra empresas financeiras e jurídicas em todo o mundo. Apesar do fato de que o grupo realizou com sucesso uma série de ataques a vários bancos em diferentes países, eles não foram relatados ao público. Constantemente mudando suas ferramentas e táticas para contornar antivírus e sistemas de segurança e, o mais importante, mascarando cuidadosamente os vestígios de intrusão, o grupo conseguiu passar despercebido por um longo tempo.
De acordo com o Group-IB, os hackers realizaram seu primeiro ataque nos Estados Unidos em maio de 2016, enquanto o último ocorreu mais recentemente - em novembro de 2017 na Rússia.
“O MoneyTaker usa ferramentas que estão publicamente disponíveis, o que complica muito o processo de identificação de ataques e de conduzir uma investigação”, diz Dmitry Volkov, co-fundador do Group-IB e diretor de processamento inteligente de dados. "Além disso, os ataques ocorreram em diferentes regiões do mundo. Especialistas do Grupo IB sugerem que novos ataques ocorrerão em um futuro próximo, portanto, para reduzir o risco, eles prepararam um relatório contendo uma descrição dos métodos e ferramentas usadas pelos hackers e os critérios para determinar você é uma vítima do MoneyTaker. "
Usando seu próprio sistema de inteligência de ameaças de segurança, o Group-IB conseguiu identificar a relação entre todos os 20 casos de ataque em 2016 e 2017. As conexões foram encontradas não apenas nas ferramentas utilizadas, mas também na infraestrutura distribuída, componentes únicos no conjunto de softwares utilizados pelo grupo, o Grupo IB também descreve esquemas de saque específicos - o uso de contas únicas para cada transação. Outra característica distintiva do grupo é que, após o roubo, os invasores continuam monitorando os bancos enganados, redirecionando e-mails corporativos e outros documentos para caixas de correio nos recursos do Yandex e do Mail.ru.
