MoneyTaker es un grupo de hackers de habla rusa que ataca bancos y organizaciones legales. Vigente desde mayo de 2016. A partir de 2021, no fue posible identificar a los miembros del grupo de hackers [1] [2] .
Durante este período, el grupo llevó a cabo al menos 22 ataques identificados a diversas empresas. Dieciséis de ellos eran para bancos estadounidenses , 5 para empresas rusas y uno para una empresa en el Reino Unido [3] [4] [5] .
Según el primer informe de análisis sobre MoneyTaker, al menos 16 de los ataques identificados por el grupo fueron contra organizaciones en Estados Unidos . El daño promedio de un ataque fue de $ 500,000 [3] [6] . Los delincuentes robaron documentación del sistema FedLink de OceanSystems, que era utilizado por 200 bancos en América Latina y Estados Unidos [7] .
En Rusia, los piratas informáticos han realizado cinco ataques a bancos y uno a un bufete de abogados. El objetivo principal de los ataques del grupo en Rusia fue el sistema de transferencias interbancarias ARM KBR. El monto promedio de daños por un incidente ascendió a $ 1,2 millones, pero los bancos afectados lograron recuperar parte del dinero. La cantidad total de pérdidas financieras superó los $ 3 millones [6] [2] [8] .
En el Reino Unido, un proveedor de software y servicios fue atacado [6] .
En mayo de 2016, ocurrió el primer ataque registrado del grupo: se robó dinero de un banco estadounidense en Florida como resultado de obtener acceso al sistema de procesamiento de tarjetas STAR de FirstData [7] .
En agosto de 2016, los piratas informáticos piratearon con éxito uno de los bancos rusos, que utilizaba el sistema de transferencia interbancaria KBR ARM. Después de obtener acceso al sistema, los piratas informáticos cargaron su propio programa MoneyTaker v5.0, que realizó la inicialización, verificando la presencia de módulos especificados en el archivo de configuración y copias de seguridad de ciertos directorios de CBD AWS [2] [7] .
En octubre de 2017, se registró un ataque dirigido a instituciones financieras en Rusia , Armenia y Malasia . Sin embargo, aquí las opiniones de los investigadores diferían: algunos lo atribuyen al grupo Silence , el otro - MoneyTaker. La primera ola de ataques comenzó en julio. Los atacantes enviaban correos electrónicos de phishing con archivos adjuntos maliciosos, mientras que podían usar la infraestructura de instituciones ya infectadas para esto y enviar mensajes en nombre de empleados reales [9] [10] .
En noviembre de 2017, los piratas informáticos obtuvieron acceso a los servidores y estaciones de trabajo de los lugares de trabajo automatizados de CBR en uno de los bancos de Rusia, pero no pudieron usar el malware MoneyTaker v5.0 debido a que el servidor estaba en un segmento completamente aislado. Después de un intento fallido de robar dinero a través del sistema de transferencia interbancaria, cambiaron su enfoque al sistema de procesamiento de tarjetas. En 2018, logramos encontrar el punto de partida de la penetración. Los piratas informáticos obtuvieron acceso a la red corporativa en 2016 al atacar la computadora personal (doméstica) del administrador de esta organización financiera. Al mismo tiempo, después del ataque, utilizaron un programa que eliminaba todos los componentes de los programas que utilizaban, pero cometía un error en el código, lo que dejaba los datos en la computadora atacada.
En diciembre de 2017, el grupo fue identificado y denominado MoneyTaker, por el nombre del principal programa utilizado por los piratas informáticos [3] . Los especialistas han publicado un informe técnico que describe las tácticas de los piratas informáticos y las herramientas utilizadas. [2] [3] [7] .
En julio de 2018, los ciberdelincuentes atacaron PIR Bank en Rusia. Se robaron al menos $ 920,000 del banco.El jefe de Sberbank , German Gref , dijo que el ataque al PIR Bank fue llevado a cabo por el grupo Carbanak. [11] Sin embargo, la empresa que investigó el incidente afirmó que esta información no estaba confirmada y que MoneyTaker estaba detrás del ataque. Los piratas informáticos comprometieron la red del banco a través de un enrutador obsoleto en una sucursal regional a la que se accedió en mayo. Las acciones de los delincuentes en la red local del banco pasaron desapercibidas hasta que llegaron al AWP del KBR (lugar de trabajo automatizado del cliente del Banco de Rusia), necesario para el retiro de dinero. Los fondos se retiraron a 17 cuentas creadas previamente. La mayor parte del dinero fue cobrado la noche del robo. Los empleados de PIR Bank descubrieron el hackeo un día después. Los malhechores intentaron "hacerse un hueco" en la red del banco para preparar ataques posteriores, pero fueron detectados a tiempo. Según algunos informes [12] , el banco logró devolver parte del dinero. Según otros, ya era demasiado tarde para revertir las transacciones [4] [13] .
En octubre del mismo año, el grupo envió correos electrónicos de phishing estilizados como documentos oficiales del Banco Central de la Federación Rusa [5] .
Para 2021, no fue posible identificar a los miembros del grupo de hackers.
Para penetrar en la red corporativa, el grupo usó el marco Metasploit legítimo y PowerShell Empire [8] .
Los piratas informáticos implementaron una nueva infraestructura para cada campaña y, después de un compromiso exitoso, destruyeron cuidadosamente los rastros de cómo exactamente obtuvieron acceso a la red [8] . Una característica única de las infraestructuras fue el uso de un servidor de persistencia que solo entrega cargas útiles a víctimas reales cuyas direcciones IP están en la lista blanca [7] .
La herramienta principal del grupo es el marco legítimo de pruebas de penetración Metasploit . Con su ayuda, los delincuentes realizaban un reconocimiento de la red y buscaban vulnerabilidades, las explotaban, elevaban derechos en el sistema, recopilaban información, etc. Todo el ataque se controlaba desde el servidor en el que estaba instalado Metasploit. Cuando se lanzó la carga útil (Meterpreter) en un host comprometido, inició una conexión SSL saliente, lo que evitó la detección por parte de los sistemas de seguridad de la red. Por defecto, Metasploit genera certificados SSL autofirmados y especifica valores aleatorios en los campos: Válido desde, Válido hasta, Nombre común, lo que puede despertar sospechas. Por lo tanto, el grupo MoneyTaker también generó certificados SSL autofirmados antes del ataque, pero no completó los campos al azar, sino que indicó los nombres de marcas reconocibles, lo que redujo la probabilidad de detección [14] .
Para el compromiso inicial, se utilizaron servidores desechables, que cambiaron después de una penetración exitosa. Dichos servidores devolvieron una "carga útil" maliciosa solo para una lista establecida de direcciones IP pertenecientes a la empresa atacada. Entonces, los delincuentes impidieron que la "carga útil" llegara a analistas y expertos externos.
Los piratas informáticos utilizaron herramientas legítimas de PowerShell [8] , así como troyanos bancarios Citadel y Kronos [7] para propagarse por la red . Los atacantes utilizaron dos métodos de distribución de carga útil: publicar archivos ejecutables en una carpeta de red y forzarlos a ejecutarse en la computadora de la víctima, o especificar el código shell directamente en la línea de inicio del servicio.
Para interceptar transacciones interbancarias, el grupo usó un programa escrito por ellos mismos, MoneyTaker v5.0 [7] .
Para las contraseñas que se recibieron como un hash NTLM y no se descifraron, se utilizó el mecanismo Pass-the-hash, que permite utilizar un hash NTLM para la autenticación sin conocer la contraseña. Para esto, se usaron todos los mismos módulos psexec estándar en Metasploit sin ninguna modificación. Después de obtener acceso a los nuevos sistemas, se repitió el proceso de recopilación de información de contraseñas.
El grupo usó programas "incorpóreos" que se ejecutaban solo en RAM y se destruyeron después de un reinicio [2] [6] . Para afianzarse en el sistema, los atacantes utilizaron secuencias de comandos de PowerShell y VBS. Una característica del grupo MoneyTaker fue el uso de un servidor separado para estas operaciones.
Dropper se utilizó para lanzar la carga útil. Este programa descifra el búfer de datos almacenado en el instalador en forma cifrada y lo inyecta en el proceso secundario (lanzado en último lugar).
Después de un ataque exitoso, el grupo no tenía prisa por abandonar la "escena del crimen", pero continuó espiando a los empleados del banco después de piratear la red corporativa para robar también documentación interna sobre el trabajo con los sistemas bancarios (manuales del administrador, instrucciones internas y reglamentos, formularios de solicitud de cambio, registros de transacciones, etc.) [3] [15] .
Para rastrear el trabajo de los operadores de sistemas reales, se utilizó la herramienta legítima NirCmd (le permite escribir y eliminar de forma remota valores y claves en el registro, escribir valores en un archivo INI, conectarse a una red VPN , reinicie o apague la computadora, cambie la fecha de creación/modificación del archivo, cambie la configuración de visualización, apague el monitor y mucho más) y capturador de pantalla y registrador de teclas escrito por él mismo [7] .
El grupo alquiló servidores en Rusia y utilizó Yandex y Mail.Ru mail [16] [7] .