La société Group-IB, basée à Dubaï, a présenté un rapport exposant un groupe de pirates informatiques ayant illégalement retiré des fonds de comptes bancaires dans le monde entier.
Group-IB, un fournisseur de premier plan de services d’information et de cybersécurité ayant des bureaux aux Émirats arabes unis (Dubaï) et en Russie (Moscou), a publié un rapport détaillant les stratagèmes frauduleux d’un groupe de hackers russophones appelé MoneyTaker. .
En moins de deux ans, une équipe de cybercriminels de MoneyTaker a lancé avec succès plus de 20 attaques contre des cabinets financiers et des cabinets d’avocats du monde entier. Bien que le groupe ait mené avec succès plusieurs attaques sur plusieurs banques de différents pays, elles n'ont pas été rendues publiques. En modifiant constamment leurs outils et leurs tactiques pour contourner les antivirus et les systèmes de sécurité et, surtout, en masquant soigneusement les traces d’intrusion, le groupe a réussi à passer inaperçu pendant longtemps.
Selon Group-IB, les pirates informatiques ont effectué leur premier attentat aux États-Unis en mai 2016, le dernier en date ayant eu lieu - en novembre 2017 en Russie.
«MoneyTaker utilise des outils accessibles au public, ce qui complique grandement le processus d'identification des attaques et de conduite d'une enquête», déclare Dmitry Volkov, cofondateur de Group-IB et directeur du traitement de données intelligent. "En outre, les attaques ont eu lieu dans différentes régions du monde. Les experts du Groupe-IB suggèrent que de nouvelles attaques auront lieu dans un proche avenir. Par conséquent, afin de réduire les risques, ils ont préparé un rapport contenant une description des méthodes et outils utilisés par les pirates, ainsi que des critères permettant de vous êtes victime de MoneyTaker. "
En utilisant son propre système de renseignements sur les menaces pour la sécurité, Group-IB a réussi à identifier la relation entre les 20 cas d'attaque de 2016 à 2017. Les connexions ont été trouvées non seulement dans les outils utilisés, mais également dans l'infrastructure distribuée, composants uniques du groupe de logiciels utilisé par le groupe. Group-IB décrit également des schémas de retrait spécifiques, à savoir l'utilisation de comptes uniques pour chaque transaction. Une autre caractéristique du groupe est qu’après le vol, les attaquants continuent de surveiller les banques trompées, en redirigeant les courriels professionnels et d’autres documents vers des boîtes aux lettres sur les ressources Yandex et Mail.ru.
