Investigadores de seguridad han descubierto un nuevo grupo de habla rusa que no había sido detectado previamente y que silenciosamente se ha dirigido a bancos, instituciones financieras y firmas legales, principalmente en los Estados Unidos, el Reino Unido y Rusia.
Según la firma de seguridad Group-IB, el grupo denominado MoneyTaker se ha enfocado principalmente en sistemas de procesamiento de tarjetas, incluyendo AWS CBR (Russian Interbank System) y SWIFT (Estados Unidos). Group-IB también ha advertido que los ataques de MoneyTaker contra las organizaciones financieras parecen estar en curso y que los bancos en América Latina podrían ser su próximo objetivo.
MoneyTaker lanzó varios ataques mediante malware contra unos 20 bancos de todo el planeta (principalmente EEUU y Reino Unido).En apenas 18 meses, los delincuentes se hicieron con diez millones de dólares. En cada uno de estos ataques, los delincuentess rusos se llevaron unos 500.000 dólares y, por si fuera poco, lo lograron mediante técnicas fácilmente accesibles en Internet, con lo que se dificultaba el proceso de atribución de las intrusiones y se evitaba que se asociaran las distintas campañas entre si. Gracias a esta práctica lograron pasar desapercibidos desde su primera operación, registrada en mayo de 2016.
Después de tomar el control de la red del banco, los atacantes comprobaban si podían conectarse al sistema de procesamiento de tarjetas. Después, legalmente abrieron o compraron tarjetas del banco cuyo sistema informático habían pirateado. Utilizando mulas de dinero, los delincuentes retiraban dinero de los cajeros automáticos con las tarjetas previamente activadas. Justo antes, los atacantes eliminaron o aumentaron los límites de retiro de efectivo para las tarjetas que tenían las mulas.
Pero no sólo bancos se han visto afectados, MoneyTaker también comprometió la integridad de una firma de abogados y de un proveedor de software y servicios.