Прежде неизвестная группировка русскоязычных хакеров ворует в США и России

Она называется MoneyTaker. За шесть месяцев она 16 раз атаковала американские компании, средний ущерб — 500 000 долларов. В России хакеры украли 72 млн рублей

Международная компания Group-IB (центральный офис находится в Москве) обнаружила прежде неизвестную группировку русскоязычных хакеров. Организация занимается расследованием киберпреступлений.

Группировка получила название MoneyTaker, за полгода она 16 раз атаковала компании США. Средний ущерб — 500 000 долларов. Было три атаки на российские банки, хотя хакеры придерживаются негласного правила не взламывать компании в родном регионе. Один раз напали на банк в Великобритании.

В России группировке удалось украсть 72 млн рублей. Одну из трех атак вовремя заметили, и злоумышленники не смогли вывести деньги.

В одной из атак использовалась программа для автоматизированного рабочего места клиента Банка России. Но не только это указало на русские корни группировки, говорит руководитель департамента киберразведки компании Group-IB Дмитрий Волков:

Дмитрий Волков руководитель департамента киберразведки компании Group-IB «Всегда есть косвенные признаки, которые указывают на то, что они говорят на нашем родном, русском языке. Исторически так сложилось, что банки в России целенаправленно атакуют только люди, которые говорят на русском. Это связано с языковым барьером. Представьте, что, предположим, хакер из Индии, который русским языком не владеет, увидел интерфейс какой-то российской системы, причем не самой современной, и там не будет удобного интерфейса. Разобраться в ней практически невозможно. Получить документацию, поскольку это финансовый сектор, если вы не являетесь клиентом и не имеете лицензию на поддержку, тоже невозможно. Такую документацию нужно воровать и исследовать. Но, даже если суперхакер найдется, который успешно взломает любой российский банк и условно получит доступ в любую систему, ему еще необходимо эти денежные средства из банка похитить. И вот процедуру отмывания денег в России могут эффективно делать только люди, которые говорят на русском языке, это, как правило, уже обычная ОПГ, связанная с обычным криминалом. Вывести деньги можно, и есть люди, которые могут эти денежные средства принять, но у вас должны быть доверительные отношения, которые в этом хакерском сообществе выстраиваются достаточно долго. Доверительные отношения, кто сможет принять условно 100 млн рублей, похищаемых из банка, а потом вам еще нужно процент вернуть. И вот доверительные отношения могут выстраиваться только между людьми, которые говорят на родном языке. Но опять же это практика, которую мы наблюдаем уже на протяжении многих лет. Помимо основных факторов, есть еще некоторые другие: присутствие на российских форумах, использование кода, использование почтовых ящиков в «Яндексе», Mail.Ru».

Результатами расследования Group-IB поделилась с Интерполом и Европолом. Пока обнаружение группировки в киберпространстве вовсе не означает, что установлены личности самих хакеров. Поймать их крайне сложно. Определение группы, действующей по определеному алгоритму, имеющей свой характерный почерк, — только начало поиска.

Кроме того, уже на этом этапе можно сказать, что группировка не имеет ничего общего с расследованием в США о российском вмешательстве в выборы президента. Как уточнили в Group-IB, киберпреступления, как правило, делятся на финансово мотивированные и не финансово мотивированные. Цель группы MoneyTaker — только вывод денег из банков и компаний.