บริษัท Group-IB ได้เผยแพร่รายงานถึงกลุ่มแฮ็กเกอร์ที่มีชื่อว่า MoneyTaker ซึ่งพบว่าเริ่มดำเนินการมาตั้งแต่เดือนพฤษภาคมปี 2016 โดยในช่วงสองเดือนที่ผ่านมากลุ่มแฮกเกอร์ได้ดำเนินการโจมตีสถาบันทางการเงิน และบริษัททางด้านกฎหมายประสบความสำเร็จมากกว่า 20 แห่งใน USA, UK และ Russia โดยสามารถขโมยเงินได้ถึง 11 ล้านเหรียญ รวมถึงข้อมูลสำคัญที่สามารถถูกนำไปใช้ในการโจมตีครั้งต่อไป
กลุ่ม MoneyTaker มีเป้าหมายหลักในการโจมตีไปที่ระบบการประมวลผลบัตร ได้แก่ AWS CBR (Russian Interbank System) และ SWIFT ระบบสื่อสารด้านการเงินระหว่างธนาคาร (ในสหรัฐฯ) โดย Group-IB ได้แจ้งเตือนว่าการโจมตีองค์กรทางการเงินของกลุ่ม MoneyTaker ยังไม่มีแนวโน้มว่าจะยุติลง และธนาคารในละตินอเมริกาอาจจะตกเป็นเป้าหมายต่อไป โดยหลังจาก MoneyTaker ประสบความสำเร็จในการโจมตีครั้งแรกเมื่อเดือนพฤษภาคมปี 2016 พวกเขาได้กำหนดกลุ่มเป้าหมายเพิ่มเติมไปยังธนาคารต่างๆ ได้แก่ California, Illinois, Utah, Oklahoma, Colorado, South Carolina, Missouri, North Carolina, Virginia และ Florida โดยเป้าหมายส่วนใหญ่เป็นกลุ่มธนาคารขนาดเล็ก
กลุ่ม MoneyTaker สามารถหลีกเลี่ยงการตรวจจับของโปรแกรมป้องกันไวรัส และโซลูชันด้านความปลอดภัยแบบดั้งเดิม ที่สำคัญที่สุดคือการขจัดร่องรอยของตนหลังจากดำเนินการเสร็จแล้ว โดยใช้เครื่องมือสำหรับเจาะระบบต่าง ๆ ที่มีอยู่ทั่วไป ได้แก่ Metasploit, NirCmd, psexec, Mimikatz, Powershell Empire และ proof-of-concepts(PoC) code ที่เผยแพร่ทั่วไป นอกจากนี้ยังพบว่ามีการใช้ประโยชน์จาก Citadel และ Kronos banking trojans เพื่อแพร่กระจายมัลแวร์ Point-of-Sale (POS) ที่เรียกว่า ScanPOS สำหรับรวบรวมข้อมูลเกี่ยวกับ Process และชื่อผู้ใช้งาน และสิทธิ์บนเครื่อง ก่อนจะส่งไปยัง C&C รายงานยังระบุว่าเงินที่ถูกขโมยโดย MoneyTaker จากธนาคารในสหรัฐฯเพียงอย่างเดียวเฉลี่ยประมาณ 500,000 เหรียญและมากกว่า 3 ล้านเหรียญถูกขโมยจากธนาคารของรัสเซียอย่างน้อย 3 แห่ง
ที่มา : theregister
You must be logged in to post a comment.