讲的俄语黑客定位金融机构

根据安全公司Group-IB的说法，俄语网络攻击集团正在针对英国，美国和俄罗斯的金融机构和法律公司，但许多袭击已被解档。

被称为Moneytaker的攻击小组被认为在过去的18个月内偷了20多美元，而目标也包括金融软件供应商。

不仅在所使用的工具中识别连接，也是分布式基础结构，攻击工具包中的一次性组件以及特定的提款方案，例如使用每个事务的唯一帐户。这个群体的另一个不同的特征是他们在活动之后坚持，继续间谍一些受影响的银行。

该集团主要针对卡处理系统，包括AWS CBR（俄罗斯银行系统）和金融消息服务威速。

攻击（16）的批量曾在美国组织上，其次是俄罗斯银行（3），英国有一家银行确认的目标。

Group-IB表示，MoneyTaker在很大程度上已经不受表情了解，因为它不断改变其工具和策略来绕过防病毒和传统的安全系统，并在操作完成后仔细消除所有入侵的痕迹。

根据Dmitry Volkov，Group-IB联合创始人和智力负责人，本集团使用公开的工具，该工具使归属和调查过程具有挑战性。

“此外，在全世界的不同地区发生事件，至少有一个针对的美国银行有两次从他们的网络中成功消除的文件，”他说。

该工具包括基于俄罗斯网络安全会议Zeroonights Zeronights Zeroonights Zeroonights Zeroonights 2016的代码编译的特权升级工具，旨在记录击键并拍摄屏幕截图，在RAM，Citadel和Kronos银行的特洛伊木马和销售点上存在的无用恶意软件以及销售点（POS）恶意软件。

该组还使用名为Moneytaker的工具搜索付款订单，修改它们，用欺诈性替换原始付款详细信息，然后删除跟踪。为了确保系统持久性Moneytaker依赖于PowerShell和VBS脚本，这既难以通过防病毒软件检测，易于修改。

Volkov表示，Group-IB决定发布黑客集团的工具，技术和妥协指标的详细信息，因为预期新的盗窃。

自2016年春季在美国进行第一次袭击以来，Moneytaker被认为在10个不同的国家中遭受了目标，主要针对网络防御有限的较小机构。

据小组 - IB报告称，美国银行的平均运输约为500,000美元，据信约360万美元从三个俄罗斯银行被盗。

Group-IB确定本集团不断抵御内部银行文件，以了解银行业务，以准备未来的攻击。

exfiltrated文档包括管理指南，内部规则和说明，更改请求表单和事务日志。

Group-IB表示，它正在调查一些复制文件的事件，这些文件描述了如何通过SWIFT进行转移。安全公司表示，他们的内容和地理表明拉丁美洲的银行可能会被Moneytaker所针对于下一步。

Group-IB为Europol和Interpol提供了有关MoneyTaker集团的详细信息，以获得进一步调查活动，作为本公司与法国犯罪行为合作的一部分。