讲的俄语黑客定位金融机构
根据安全公司Group-IB的说法,俄语网络攻击集团正在针对英国,美国和俄罗斯的金融机构和法律公司,但许多袭击已被解档。
被称为Moneytaker的攻击小组被认为在过去的18个月内偷了20多美元,而目标也包括金融软件供应商。
不仅在所使用的工具中识别连接,也是分布式基础结构,攻击工具包中的一次性组件以及特定的提款方案,例如使用每个事务的唯一帐户。这个群体的另一个不同的特征是他们在活动之后坚持,继续间谍一些受影响的银行。
该集团主要针对卡处理系统,包括AWS CBR(俄罗斯银行系统)和金融消息服务威速。
攻击(16)的批量曾在美国组织上,其次是俄罗斯银行(3),英国有一家银行确认的目标。
Group-IB表示,MoneyTaker在很大程度上已经不受表情了解,因为它不断改变其工具和策略来绕过防病毒和传统的安全系统,并在操作完成后仔细消除所有入侵的痕迹。
根据Dmitry Volkov,Group-IB联合创始人和智力负责人,本集团使用公开的工具,该工具使归属和调查过程具有挑战性。
“此外,在全世界的不同地区发生事件,至少有一个针对的美国银行有两次从他们的网络中成功消除的文件,”他说。
该工具包括基于俄罗斯网络安全会议Zeroonights Zeronights Zeroonights Zeroonights Zeroonights 2016的代码编译的特权升级工具,旨在记录击键并拍摄屏幕截图,在RAM,Citadel和Kronos银行的特洛伊木马和销售点上存在的无用恶意软件以及销售点(POS)恶意软件。
该组还使用名为Moneytaker的工具搜索付款订单,修改它们,用欺诈性替换原始付款详细信息,然后删除跟踪。为了确保系统持久性Moneytaker依赖于PowerShell和VBS脚本,这既难以通过防病毒软件检测,易于修改。
Volkov表示,Group-IB决定发布黑客集团的工具,技术和妥协指标的详细信息,因为预期新的盗窃。
自2016年春季在美国进行第一次袭击以来,Moneytaker被认为在10个不同的国家中遭受了目标,主要针对网络防御有限的较小机构。
据小组 - IB报告称,美国银行的平均运输约为500,000美元,据信约360万美元从三个俄罗斯银行被盗。
Group-IB确定本集团不断抵御内部银行文件,以了解银行业务,以准备未来的攻击。
exfiltrated文档包括管理指南,内部规则和说明,更改请求表单和事务日志。
Group-IB表示,它正在调查一些复制文件的事件,这些文件描述了如何通过SWIFT进行转移。安全公司表示,他们的内容和地理表明拉丁美洲的银行可能会被Moneytaker所针对于下一步。
Group-IB为Europol和Interpol提供了有关MoneyTaker集团的详细信息,以获得进一步调查活动,作为本公司与法国犯罪行为合作的一部分。