Die Gruppe MoneyTaker soll seit 2016 erfolgreich Banken in England, den USA und Russland attackieren. Jetzt ist sie in das Visier von Sicherheitsforschern geraten.

Die Hackergruppe MoneyTaker ist Sicherheitsforschern von Group-IB zufolge weltweit aktiv und hat bisher unbemerkt Banken in England, den USA und Russland abgezockt. Bislang haben die Sicherheitsforscher 21 erfolgreiche Übergriffe dokumentiert. Die Fälle gehen bis ins Jahr 2016 zurück.

Bei diesen digitalen Raubzügen soll die Gruppe 10 Millionen US-Dollar erbeutet haben, schildert Group-IB in einem Bericht. Die Forscher gehen davon aus, dass die Gruppe noch aktiv ist und weitere Attacken bevorstehen. Derzeit sollen Europol und Interpol in der Sache ermitteln.

Bei den Vorfällen soll die Gruppe unter anderem in Netzwerke von diversen Banken eingestiegen sein. Dabei habe sie sich Group-IB zufolge mit verschiedenen Tools höhere Rechte verschafft, um beispielsweise Point-of-Sale-Malware in Umlauf zu bringen. Während der Übergriffe soll auch der Banking-Trojaner Kronos zum Einsatz gekommen sein. In vielen Fällen haben die Kriminellen Geldkarten geordert, deren Limit entfernt und so Geld abgehoben.

Gut getarnt am Werk

Bei den Angriffen soll MoneyTaker vor allem eigene Tools eingesetzt haben, um Zahlungen zu fälschen und Spuren zu verwischen. Damit den Hackern niemand auf die Schliche kommt, setzen sie unter anderem dateilose Malware ein, die nach einem Neustart eines infizierten Computers verschwindet. Um sich dennoch dauerhaft auf Computern einzunisten, soll MoneyTaker auf PowerShell- und VBS-Skripte setzen, auf die Virenscanner nicht ohne Weiteres anspringen.

Auf den Command-and-Control-Servern (C&C) sollen die Angreifer die legitime Pentesting-Software Metasploit eingesetzt haben. Eigentlich klopfen damit Sicherheitsforscher etwa IT-Systeme auf Sicherheit ab. Die MoneyTaker haben sich das zunutze gemacht und so Schlupflöcher gesucht und gefunden. Den Traffic der C&C-Server sollen die Angreifer vor Sicherheitsforschern verschlüsselt hinter TLS-Zertifikaten versteckt haben. Die Zertifikate sollen legitime Namen wie Bank of America oder Microsoft tragen.

Angriffe auf das SWIFT-Netz?

Die Sicherheitsforscher heben hervor, dass die Angreifer länger in den Systemen der Banken verweilten, um so viel Interna wie möglich abzugreifen. Dabei sollen sie zum Beispiel Zugriff auf Admin-Leitfäden und Transaktions-Logs gehabt haben. Außerdem haben sie interne Dokumente über die Abwicklung von Bankgeschäften über das SWIFT-Netz (Society for Worldwide Interbank Financial Telecommunication) abgegriffen. (des)