МОЛНИЯ! СТАВИМ ТОЧКИ НАД i. Журналисты сейчас нас спрашивают про связи трояна Silence с MoneyTaker.  Так вот авторитетно заявляем: троян Silence не имеет отношения к хакерской группе MoneyTaker. Для того, чтобы однозначно идентифицировать «почерк» этой группы мы проверяли, перепроверяли, отметали десятки версий и вышли с открытым отчетом только, когда сомнений не осталось. Сделать качественную атрибуцию инцидентов в случае с MoneyTaker не так просто, в силу того, что группа старается использовать легитимные инструменты для проникновения в банки с целью совершения хищений.
Троян Silence используется уже более года. Да, начало его использования для атак на банки совпало с активизацией группы MoneyTaker в России и это многих ввело в заблуждение. Были мелкие пересечения, но после детальной проверки мы выявили расхождения, которые однозначно говорят о том, что Silence – атрибут другой группы. Почему?
💥В атаках используются разные вредоносные программы
💥«Почерк» разных программистов
💥Используются разные методы доставки «полезной нагрузки»
💥 Группы преследуют разные цели в банках
💥У групп разная географическая фокусировка
Подробнее о разнице между группами и о том, как делать качественный и профессиональный анализ в рамках расследований, мы расскажем на нашем вебинаре на следующей неделе. https://register.gotowebinar.com/register/4060595784614026499?source=SM Следим за анонсами!

А у нас прямое включение из центра столицы. Здесь идет дисскуссия  о связях трояна Silence с #MoneyTaker. Вся объективная информация только в нашем отчете https://www.group-ib.ru/money-taker.html

А в нашем блоге — эпическая история о том, как #MoneyTaker ограбил в ноябре региональный  банк🕵🏻💥💰. "Сисадмин одного из российских банков мог с домашнего компьютера заходить на сервера банка. Это стало точкой входа — через него хакеры проникли в системы банка и почти три недели свободно передвигались внутри, прикидывая, как украсть деньги👻. В банке стоял антивирус и он почти ежедневно "орал", фиксируя, как атакующие сканируют порты серверов и рабочих станций и используют различные хакерские инструменты. На "тревогу" никто не обращал внимания😱, пока в конце ноября этого года из банка не похитили несколько десятков миллионов через АРМ КБР (автоматизированное рабочее место клиента банка России). Хакеры сначала хотели вывести деньги через банкоматы, но они не работали. Чисто российская история: у их владельца, партнера обворованного банка, незадолго до этих событий отозвали лицензию".  https://www.group-ib.ru/blog/moneytaker

Нас спрашивают, почему мы считаем, что хакеры из #MoneyTaker русскоговорящие?
Ну, смотрите. Все атаки на банки России с целью хищений проводят только группы, в которые входят русскоговорящие атакующие. Это связано с несколькими причинами:
 💥 Языковой барьер. Для эффективной атаки знание языка может быть критичным элементом. Особенно это касается закрытых систем, которые используются только в России, например, АРМ КБР.
 💥 Отмывание денег. Можно быть супер хакером и взламывать любой банк, но чтобы его ограбить необходимо иметь контакты с людьми которые могут оказать эту услугу. Более того, эти контакты должны быть доверенными иначе огромный риск того, что атакующий который взломал банк выведет деньги из банка, но никогда их не получит, потому что мошенники которые должны были их отмыть просто ему их не вернут. Такие отношения выстраиваются не быстро и если вы не говорите на русском языке, то выстроить их практически невозможно.
#MoneyTaker атакует банки России и именно АРМ КБР, что сразу дает сигнал о том, что они знают русский язык. Но кроме этого они арендовали серверы в России через русскоговорящих посредников, использовали код, используемый русскоговорящими хакерами и  почту Яндекс и Мейл.ру.

Всего за полтора года Group-IB зафиксировала 20 атак на банки и компании в США, России и Великобритании. Вначале мы разделили эти инциденты на три группы и рассматривали их по-отдельности. Но в ходе глубокого исследования использованной злоумышленниками инфраструктуры, инструментов, тактики, результаты которого представлены в этом отчете, мы сделали вывод, что за всеми инцидентами стоит одна и та же группа – #MoneyTaker.

Чтобы вывести на чистую воду хакеров из #MoneyTaker, Lazarus или Cobalt требуется слаженная работа целой команды — компьютерных криминалистов, Threat Intel экспертов (киберразведчиков), вирусных аналитиков. Сергей Никитин,  зам руководителя лаборатории компьютерной криминалистики рассказал РБК о своей профессии. https://www.rbc.ru/photoreport/09/12/2017/5a2a54b79a7947027fd1a115

тут и свежие мемы про #MoneyTaker подоспели

Подводим итоги насыщенного дня.
10 интересных фактов про MoneyTaker👻🔥🕵️‍♀️
💥Их жертвой становились небольшие банки — в России региональные, в США —комьюнити-банки с невысоким уровнем защиты. В один из российских банков хакеры проникли через домашний компьютер сисадмина.
💥Один из американских банков взломали аж дважды.
💥Совершив успешную атаку,  продолжали шпионить за сотрудниками банка с помощью пересылки входящих писем на адреса Yandex и Mail.ru..
💥Эта группировка всегда уничтожала следы после атаки.
💥Деньги из одного российского банка пытались вывести через банкоматы, но они не работали —у их владельца незадолго до этого ЦБ забрал лицензию. Вывели деньги через АРМ КБР.
💥Похищали не только деньги, но и внутренние документы, инструкции, регламенты, журналы транзакций. Судя по  украденным документам, связанным с работой SWIFT, хакеры готовят атаки на объекты в Латинской Америке.
💥В некоторых случаях хакеры вносили изменения в код программы «на лету» — прямо во время проведения атаки.
💥Взломщики использовали файл SLRSideChannelAttack.exe. Он был скомпилирован 23 октября 2016 на основе кодов с российской конференции ZeroNights 2016.
💥MoneyTaker использовали  общедоступные инструменты, целенаправленно скрывали любые элементы атрибуции, предпочитая оставаться в тени.💥Автор у программ один — это видно по типичным ошибкам, которые кочуют из одной самописной программы в другую.

Поговорим про деньги. Российские компании тратят на информационную безопасность в среднем на  4–8% IT-бюджета, говорит Антон Фишман, директор проектного направления Group-IB. — В целом инвестиции в ИБ среди российских компаний недостаточны. Больше всего на кибербезопасность тратят финансовые и госорганизации: у некоторых из них соответствующие годовые бюджеты исчисляются сотнями миллионов рублей, выяснила Positive Technologies. По итогам 2017 года расходы на информационную безопасность вырастут на 30–40%, а в 2018 году они могут увеличиться еще на 50%, прогнозируют эксперты. Среди факторов роста — резонансные кибератаки и требования регуляторов. https://www.kommersant.ru/doc/3494853

История #MoneyTaker, хакеров-невидимок, атаковавших два десятка банков и компаний в США, России, Великобритании, привлекла внимание авторитетных международных изданий в Америке, Европе, России, на Среднем Востоке и в Азии. На медиа-счету Group-IB порядка 520 публикаций и сюжетов. Если пропустили, мы выбрали для вас самые-самые интересные публикации.

Global media:

Bloomberg https://www.bloomberg.com/news/articles/2017-12-11/cyber-heist-linked-to-russians-targets-banks-from-moscow-to-utah

Nytimes. https://www.nytimes.com/reuters/2017/12/11/business/11reuters-cyber-banks-atm.html?utm_source=bluink.ca&utm_medium=referral&utm_campaign=bluink_key_password_manager_2-factor_authenticator


Newsweek. http://www.newsweek.com/bank-robber-hackers-steal-millions-dollars-silent-heists-745087

BBC. http://www.bbc.com/news/technology-42322706

Bankinfosecurity https://www.bankinfosecurity.com/report-russian-hackers-target-banks-in-us-britain-russia-a-10532

The Register. https://www.theregister.co.uk/2017/12/11/russian_bank_hackers_moneytaker/

Securityaffairs http://securityaffairs.co/wordpress/66591/cyber-crime/moneytaker-group.html
Americanbanker https://www.americanbanker.com/articles/us-banks-caught-up-in-hacking-scheme-tied-to-russians

Thehill. http://thehill.com/policy/cybersecurity/364298-moneytaker-group-steals-millions-from-us-international-banks-report

И в России:

Ведомости. https://www.vedomosti.ru/technology/news/2017/12/11/744779-gruppirovku-russkoyazichnih-hakerov

The MoscowTimes https://themoscowtimes.com/news/cyber-heist-linked-to-russians-targets-banks-from-moscow-to-utah-59885

РБК https://www.rbc.ru/rbcfreenews/5a2d8e869a7947e6e6d206c8

Коммерсант https://www.kommersant.ru/doc/3493448

Хакер. https://xakep.ru/2017/12/11/moneytaker/

ТАСС http://tass.ru/ekonomika/4800509

ГАЗЕТА https://www.gazeta.ru/tech/news/2017/12/11/n_10919198.shtml

Главные новости этого утра связаны с кибератакой на российский банк с использованием SWIFT (международная система передачи финансовой информации). Об этом сегодня пишет "КоммерсантЪ". Напомним, что раньше в России  целевые атаки проходили  с использованием систем карточного процессинга, банкоматов и АРМ КБР (автоматизированное рабочее место клиента банка России). По данным Group-IB, к недавней атаке причастна группировка Cobalt. Проникновение в банк произошло через вредонос, который рассылался группировкой несколько недель назад по банкам, что характерно для Cobalt. В среднем промежуток от проникновения до вывода денег составляет три-четыре недели, средняя сумма хищения - 100 млн руб., уточнили в Group-IB. FinCERT, структурное подразделение ЦБ по информбезопасности, в своем отчете назвал группу Cobalt главной угрозой для кредитных организаций. По данным Group-IB, на счету группировки не менее 50 успешных атак на банки по всему миру. К настоящему времени известно о более чем десяти успешных атаках в России, каждая из которых заканчивалась хищением денежных средств в особо крупном размере, сообщили в ЦБ.

Интересные технические детали - https://www.group-ib.ru/blog/antivirus

Первый отчет о группе Cobalt 2016 года https://www.group-ib.ru/cobalt.html

🕵🏻 Картотека GIB: Cobalt

Современных грабителей банков называют “финансово мотивированные хакеры”. С мотивацией у Cobalt  все в порядке — это одна одна из самых активных преступных групп.  Все лето и осень они атаковали банки по всему миру, тестировали новые инструменты и схемы, и  под конец года  не снизили обороты — практически каждую неделю мы фиксируем их почтовые рассылки с вредоносными программами внутри. Последние события показывают, что Cobalt совершила успешную атаку на российский банк, используя SWIFT. Чтобы не стать жертвой Cobalt, самое время освежить свои знания. 💥💪
Чем известна: группа Cobalt успешно атаковала банки по всему миру — в России, Великобритании, Нидерландах, Испании, Румынии, Белоруссии, Польши, Эстонии, Болгарии, Грузии, Молдавии, Киргизии, Армении, Тайване и Малайзии. Специализируются на бесконтактных (логических) атаках на банкоматы. Кроме систем управления банкоматами, киберпреступники стараются получить доступ к системам межбанковских переводов (SWIFT), платежным шлюзам и карточному процессингу.
Статус: Задержание 5 «мулов», связанных с группой̆ Cobalt, не отразилось на активности группы. Угроза новых атак по-прежнему актуальна.
В рубрике “Картотека  GIB” мы публикуем подборку материалов про Cobalt:
1. Секреты Cobalt. Веста Матвеева, главный специалист по компьютерной криминалистике Group-IB, одна из первых расследовала атаки Cobalt на российские и зарубежные банки, и теперь рассказала о некоторых секретах этой группы.
https://www.group-ib.ru/blog/cobalt 👩‍🎤
2. По следу Cobalt: тактика логической атаки на банкоматы в расследовании Group-IB. https://habrahabr.ru/company/group-ib/blog/323996/🕵️‍♀️
3. Полный отчет про Cobalt: https://www.group-ib.ru/cobalt.html👨‍💻
4. Про целевые атаки на банки можно прочитать в нашем блоге: https://www.group-ib.ru/blog/polygon👮‍♀️

Секреты Cobalt
Как группа Cobalt преодолевает средства защиты

В конце 2017 года прошла серия успешных атак на международные банки с целью хищений через SWIFT - и  первая успешная атака в России. Два года назад многие атаки произошли именно в новогодние праздники, когда на счетах скапливаются огромные суммы, а сотрудники безопасности и смежных подразделений уже находятся в отпусках и имеют ограниченные возможности по противодействию атакующим. Группа Cobalt может совершить хищения именно в новогодние праздники, предварительно, получив доступ в банки.  Как это у них получается? Читайте в нашем блоге. https://www.group-ib.ru/blog/antivirus