Grupo de hackers “Moneytaker” robó millones de bancos estadounidenses y rusos

Una firma de seguridad con sede en Moscú, Group-IB, descubrió un grupo de hackers de habla rusa que han robado millones de dólares desde mayo de 2016 a través de atracos internacionales.

En un informe de 36 páginas publicado  en 2017, Group-IB, que ejecuta el laboratorio de informática forense más grande de Europa del este, proporcionó detalles del grupo de hacking recientemente divulgado “MoneyTaker”, que lleva el nombre de un malware personalizado que utiliza. 

Según el Grupo-IB, el grupo de hacking ha llevado a cabo más de 20 ataques exitosos contra instituciones financieras y firmas legales en los Estados Unidos, el Reino Unido y Rusia en los últimos dos meses.

MoneyTaker

El grupo MoneyTaker robó fondos centrándose en las redes de transferencia de fondos eléctricos como SWIFT (Sociedad para la Telecomunicación Financiera Interbancaria Mundial). El grupo MoneyTaker también se enfocó en firmas de abogados y vendedores de software financiero. Group-IB ha confirmado que 20 empresas fueron hackeadas con éxito, de las cuales 16 ataques fueron a organizaciones estadounidenses, tres a bancos rusos y una a una empresa de informática en el Reino Unido.

En los Estados Unidos, El grupo atacó principalmente a los bancos comunitarios más pequeños como víctimas y robó dinero infiltrándose en el procesador de la tarjeta de crédito, incluido AWS CBR (Russian Interbank System) y SWIFT international bank mensajería (US). Este acto suyo pasó desapercibido durante un año y medio.

“MoneyTaker utiliza herramientas disponibles públicamente, lo que hace que el proceso de atribución e investigación sea un ejercicio no trivial”, dijo Dmitry Volkov, cofundador del Grupo IB y jefe de inteligencia. 

El primer ataque ocurrió en la primavera de 2016 cuando robaron dinero de un banco al violar su red “STAR”, un sistema de mensajería de transferencia bancaria que conecta 5,000 cajeros automáticos en los Estados Unidos.

Los miembros de MoneyTaker también se enfocaron en una red interbancaria conocida como AWS CBR, que interactúa con el banco central de Rusia. Los hackers también robaron documentos internos relacionados con el sistema bancario SWIFT, aunque no hay evidencia de que hayan llevado a cabo ataques exitosamente.

“El esquema es extremadamente simple. Después de tomar el control de la red del banco, los atacantes comprobaron si podían conectarse al sistema de procesamiento de la tarjeta. Después de esto, legalmente abrieron o compraron tarjetas del banco cuyo sistema informático habían hackeado. Las mulas de dinero – los delincuentes que retiran dinero de los cajeros automáticos – con tarjetas activadas anteriormente fueron al extranjero y esperaron a que comenzara la operación”, dijo el Grupo-IB.

“Después de ingresar al sistema de procesamiento de tarjetas, los atacantes eliminaron o aumentaron los límites de retiro de efectivo para las tarjetas que tenían las mulas. Eliminaron los límites de sobregiro, lo que permitió sobregirar incluso con tarjetas de débito. Con estas tarjetas, las mulas retiraron efectivo de los cajeros automáticos, uno por uno. La pérdida promedio causada por un ataque fue de aproximadamente $ 500,000 USD”.

En Rusia, $1,2 millones fueron robados por ataque. El año pasado, los delincuentes en línea robaron las credenciales de la cuenta SWIFT para robar $81 millones de un banco en Bangladesh. La cantidad de información que MoneyTaker ha recolectado en las redes Star, SWIFT y AWS CBR ha aumentado la posibilidad de que el grupo busque llevar a cabo más ataques dirigidos a los sistemas de pago interbancarios, dijo el grupo.

“Group-IB está investigando una serie de incidentes con documentos copiados que describen cómo realizar transferencias a través de SWIFT. Sus contenidos y geografía indican que los bancos en América Latina podrían ser el próximo objetivo de MoneyTaker”, dijeron funcionarios de la compañía en un comunicado.

“Los especialistas de Group-IB esperan nuevos robos en el futuro cercano y para reducir este riesgo, Group-IB desea contribuir con nuestro informe identificando herramientas de hackers, técnicas y también indicadores de compromiso que atribuimos a las operaciones de MoneyTaker”, agregaron.

“Mientras más cavamos, más encontraremos”, dijo Volkov del Grupo IB. “Este informe no representa la imagen completa, y puedo decir con una seguridad del 100% que hay más víctimas que aún no se han identificado”.

¿Qué opinas de este nuevo ataque a los sistemas financieros? – por favor comparte el post en las redes sociales.

Cómo unos hackers secuestraron todas las operaciones online de un banco

Fuente: The Register.