Die Hackergruppe MoneyTaker soll Banken in England, Russland und den USA um insgesamt zehn Millionen Dollar erleichtert haben.
Eine Hackergruppe namens MoneyTaker soll bereits seit dem Jahr 2016 Banken in England, Russland und den USA bisher unbemerkt um Geld erleichtert haben. Sicherheitsforscher von Group-IB haben 21 erfolgreiche Angriffe aufgedeckt, wobei die Hacker zehn Millionen US-Dollar erbeutet haben sollen. Sowohl Europol als auch Interpol ermitteln aktuell in der Sache.
MoneyTaker hackte diverse Banken
Gemäß einem Bericht der Sicherheitsforscher von Group-IP nutzte MoneyTaker für ihre Angriffe verschiedenen Tools, um sich damit höhere Rechte in IT-Systemen zu verschaffen. So gelang es den Hackern, Geldkarten zu ordern, das Abhebelimit zu entfernen, um Geld am Automaten abzubuchen. Auch der Banking-Trojaner Kronos soll dabei zum Einsatz gekommen sein.
Mit weiteren Tools sollen Zahlungen gefälscht und Spuren verwischt worden sein. Um von Anti-Virensoftware unentdeckt zu bleiben, nutzten die MoneyTaker-Hacker gezielt Powershell- und VBS-Skripte. Um unentdeckt zu bleiben, setzten die Hacker unter anderem dateilose Malware ein, die nach dem Neustart eines infizierten Computers verschwindet. Dadurch sollen sie zudem an solche Informationen gelangt sein, die weitere Angriffe ermöglichten, wie auf das SWIFT-Netzwerk, über das Interbankengeschäfte abgewickelt werden.
Gefälsche Zertifikate von Microsoft benutzt
Auf Command-and-Control-Servern (C&C) hat MoneyTaker die legitime Pentesting-Software Metasploit zum Aufspüren von Schlupflöchern eingesetzt. Den Traffic der C&C-Server haben die Angreifer vor Sicherheitsforschern verschlüsselt hinter TLS-Zertifikaten versteckt. Die gefälschten Zertifikate sollen legitime Namen, wie Bank of America oder Microsoft, tragen.
Bildquelle: mohamed1982eg, thx! (CC0 Public Domain)
Tarnkappe.info