En menos de dos años, este grupo ha llevado a cabo más de 20 ataques exitosos contra instituciones financieras y empresas en los Estados Unidos, el Reino Unido y Rusia.
El grupo se ha enfocado principalmente en sistemas de procesamiento de tarjetas, incluido AWS CBR (Russian Interbank System) y presuntamente SWIFT (EE. UU.). Otros sistemas de procesamiento de tarjetas, como First Data’s Star portal, también se vieron vulnerados. Dado el amplio uso de Star en nuestra región, las instituciones financieras en América latina podrían estar particularmente expuestas a un posible interés de los cibercriminales. Hay alrededor de 200 bancos regionales que usan esta tecnología.
Además de los bancos, el grupo MoneyTaker ha atacado a las firmas de abogados y también a los proveedores de software financiero.
El grupo, autodenominado MoneyTaker, fue descubierto por el laboratorio forense Group-IB con sede en Moscú. Los hackers han pasado desapercibidos al cambiar constantemente sus herramientas y tácticas para eludir los antivirus y las soluciones de seguridad tradicionales y eliminar cuidadosamente sus rastros después de completar sus operaciones. El primer ataque en los EE. UU. que Group-IB atribuye a este grupo se realizó en la primavera de 2016 cuando los hackers obtuvieron acceso al portal de operador de red Star de First Data a través de estaciones de trabajo bancarias comprometidas, lo que les permite eliminar los límites de retirada en tarjetas de regalo legítimas y retirar grandes sumas de una incursión coordinada por mulas de dinero plantadas en todo el país.
Desde ese éxito inicial, el grupo ha pasado a atacar a más de 20 víctimas corporativas. El acarreo promedio de los bancos estadounidenses fue de aproximadamente US$ 500.000, y robaron más de US$ 3 millones de tres lenders rusos.
¿Cómo trabajan?
Group-IB informa que MoneyTaker usa tanto sus herramientas de terceros como las propias. Por ejemplo, para espiar a los operadores bancarios, desarrollaron una aplicación con capacidades de «captura de pantalla» y «capturador de pulsaciones». Este programa está diseñado para capturar las pulsaciones de teclas (keylogger), tomar capturas de pantalla del escritorio del usuario y obtener contenidos del portapapeles.
Al usar herramientas de terceros, que modifican continuamente, y refugiarse detrás de software especial para no dejar huellas, hallar a estos cibercriminales no era tarea fácil.
Fuente: Infotechnology