'Hackergroep voerde met succes 16 aanvallen uit op kleine banken in Amerika'

Het beveiligingsbedrijf Group IB heeft een rapport over een hackersgroep gepubliceerd, die zich voornamelijk op kleine Amerikaanse banken richt, naast doelwitten in Rusland en het VK. Over een periode van 1,5 jaar vonden er ieder geval twintig aanvallen plaats, claimt het bedrijf.

Het bedrijf heeft de groep de naam MoneyTaker gegeven. In een uitgebreider rapport beschrijft Group IB dat de groep bij zijn hacks doorgaans interne bankdocumentatie stal, waarschijnlijk om toekomstige aanvallen te kunnen voorbereiden. Daarnaast waren de criminelen in staat om geldbedragen te stelen, bij de zestien succesvolle aanvallen op Amerikaanse doelwitten was de schade gemiddeld een half miljoen dollar. Bij drie aanvallen op Russische doelwitten was dat gemiddeld 1,2 miljoen dollar.

De hackergroep maakte gebruik van verschillende technieken om de banknetwerken binnen te dringen. Zo gebruikte MoneyTaker zelfgeschreven tools, maar ook opensourcesoftware als Meterpreter en Metasploit. Om netwerkverkeer tussen geïnfecteerde systemen en de command-and-control-servers te verhullen, maakten de aanvallers zelf ondertekende digitale certificaten aan met de namen van bekende bedrijven als Microsoft en Yahoo. Het beveiligingsbedrijf schrijft dat het in één geval kon vaststellen hoe de aanvallers eerste toegang verkregen tot het netwerk. Dit deden ze door de thuis-pc van een it-beheerder over te nemen.

Daarnaast gebruikte de groep technieken om te zorgen dat hun methodes niet in 'verkeerde' handen vielen. Bijvoorbeeld door 'fileless' malware te gebruiken die alleen aanwezig is in het geheugen van een geïnfecteerd systeem. Op die manier is deze na gebruik weer te verwijderen zonder veel sporen achter te laten. Ook verdeelde de server van de aanvallers alleen payloads aan doelwitten die voorkwamen op een vooraf vastgestelde lijst. De groep verving zijn aanvalsinfrastructuur na elke succesvolle aanval, aldus het beveiligingsbedrijf.

Een van de onderzoekers zegt tegen Bloomberg dat de aanvallers voornamelijk kleine banken als doelwit kozen, omdat ze door gebrek aan beveiligingsmiddelen relatief eenvoudig binnen te dringen waren. De aanvallen richtten zich vooral op systemen voor de verwerking van transacties van betaalkaarten. Zo konden de aanvallers kaarten aanmaken, waarmee zogenaamde money mules, oftewel geldezels, geld konden opnemen.

IT-banen

Reacties (25)

pven 11 december 2017 14:44

Er zijn dus 16 aanvallen ontdekt, maar het kan best zijn dat ze er veel meer uit hebben gevoerd de (nog?) niet zijn ontdekt.

Superkanjo @pven • 11 december 2017 14:59

Nee, 16 succesvol, in ieder geval 20 aanvallen uitgevoerd wat dus betekend dat het er meer kunnen zijn.

SSDtje

11 december 2017 15:17

Poeh... Interne bankdocumenten stelen, lastig hoor.
Ze (de banken) moeten gewoon niet overal op internet hun documenten laten rondslingeren, en dit geld ook voor de Nederlandse banken.
Als ze daar nu eerst een wat aan weten te doen, dan zal dat al een bult goed doen denk ik.
Voorbeeldje = opzegging relatie & Deze hoort daar nog bij.
En nu heb je aan dit gelinkte document hierboven niet veel natuurlijk, maar wou toch op ze'n minst even een voorbeeldje kunnen geven.
En dat het ze uiteindelijk gelukt is geld te stelen, is natuurlijk niet goed te praten, maar kom op zeg.
Laat ze zoals gezegd eerst een wat beter op hun interne documenten letten.
Zou ze al een bult goed doen.

Edit: reactie inmiddels even aangepast, foutieve info namelijk, mijn fout, excuus.

[Reactie gewijzigd door SSDtje op 24 juli 2024 10:05]

Edgarz @SSDtje • 11 december 2017 16:24

Dit is communicatie die door een klant (inmiddels ex klant blijkbaar) openbaar is gemaakt. Daar kan een bank niets aan doen...En behalve handtekeningen harvesten kun je hier nu niet direct iets mee.

Nog andere voorbeelden?

SSDtje

@Edgarz • 11 december 2017 16:50

Nope, dat was hem we zo'n beetje.
Maar zoek voor de grap alleen al is op ABN.pdf, spit dat vervolgens eens een 10 a 15 minuten door, en je komt erachter wat er zoals voor iedereen in te zien is.
Ook documenten die niet door klanten ingezien horen te worden zul je hier tussen tegenkomen.
Alleen ga ik hier niet zulke documenten plaatsen, of links daarna toe, aangezien ik dan niet echt verstandig bezig ben lijkt mij.

Blokker_1999

Hackers
Netwerk en systeembeheer
Bank

@SSDtje • 11 december 2017 18:12

Alleen maak je hier blijkbaar een grote fout door er van uit te gaan dat elke PDF zomaar een interne PDF is die per ongeluk is gelekt. Zowat alle documenten die je snel even via Google kunt vinden zullen evenwel documenten zijn die door klanten zelf online worden gezet (al dan niet bewust) en daar kan je moeilijk de bank de schuld van geven.

Je komt dus met een claim af zonder dat je een bewijs wenst te geven van je claim. Je weet toch hoe zoiets overkomt hoop ik.

SSDtje

@Blokker_1999 • 11 december 2017 18:28

Ja, slecht, dat is hoe het overkomt.
Maar vond het nu ook niet bepaald netjes om daarom de gehele reactie maar te verwijderen, aangezien dat naar mijn idee wel helemaal zwak overkomt.
Ik schrok er destijds gewoon nogal van, toen ik puur en alleen al eens ben gaan zoeken op termen als ABN, Rabo, Enz.... en wat je dan zoal tegenkomt.
En dan met name of dat via Google eigenlijk wel zichtbaar had moeten zijn/gevonden had horen te worden, en op welke manier anders dat soort info daar in hemelsnaam terecht is gekomen.
Maar goed ik weet ook niet alles natuurlijk.

Edgarz @SSDtje • 11 december 2017 16:57

Waarom niet? Als de link op Google staat is het al openbaar.
Overigens bevattende eerste 10 Google pagina's geen enkele vertrouwelijke documentatie :-)

SSDtje

@Edgarz • 11 december 2017 17:03

"Als de link op Google staat is het al openbaar."

Klopt 100% mee eens, maar dat maakt nog niet dat het daar ook thuishoort.
En hoe het er dan terecht gekomen is mag Joost weten, maar in elk geval waarschijnlijk niet via de legale weg.
Ik bedoel ik kan ook alleen maar conclusies trekken op wat ik zoal tegenkom, en daar heb ik soms toch echt wel mij bedenkingen bij.
Maar goed, ik dwaal af nu

Edgarz @SSDtje • 11 december 2017 17:08

Banken houden dit ook (zo goed en kwaad als dit kan) in de gaten, geen zorgen, echt vertrouwelijk spul blijft wel uit het zichtbare deel van internet ;-)

aikebah @SSDtje • 11 december 2017 15:31

Beter zoeken SSDtje... dit is geen bank-interne brief, dit is een openbare brief. Verzonden aan de minister en doorgezonden aan de (eerste) kamer als onderdeel van een reguliere politiek dossier.

aadje93 @aikebah • 11 december 2017 16:20

tja, checken van de bron is toch vaak erg lastig

pven @SSDtje • 11 december 2017 15:22

Waarom moet ik nu toch aan de 'tough guy'-meme denken?

Punkbuster @pven • 11 december 2017 15:29

$_/-\o_$

Verwijderd @SSDtje • 11 december 2017 16:13

Net alsof ze dat hebben gedaan...

Als het niet zo lastig is tip dan even de redactie met een uitgebreide aanval hoe jij het zou doen $_/-\o_$

GiLuX 11 december 2017 17:07

opmerkelijk..., normaal hoor je eigenlijk weinig tot nooit iets over hacks op banken en creditcard maatschappijen en andere oude wereld financiële platformen.

aanvallen op cryptocoin netwerken worden meestal direct bekend gemaakt.. of zelfs live te volgen in geval van de DAO hack waar de oorlog tussen de whitehats en blackhats door te hele wereld live te volgen waren alsof je naar een finale wk voetbal zat te kijken.

wat ik wil zeggen is dat vaak wordt gezegd dat crypto onveilig is omdat er zoveel hacks zijn maar dat de hacks op de gevestigde banken wereld er net zo vaak zijn maar volgens mij altijd angstvallig onder de pet worden gehouden.

Blokker_1999

Hackers
Netwerk en systeembeheer
Bank

@GiLuX • 11 december 2017 18:13

Je kan ook niet zomaar een vergelijking maken tussen kleine Amerikaanse banken en onze banken. De regelgeving in de EU is enorm streng voor banken en dit op zowat alle vlakken. Verzwijg het vandaag maar eens als Nederlandse bank. De dag dat men erachter komt heb je ineens een groot probleem.

WittiW @Blokker_1999 • 11 december 2017 19:15

Kan je dat? Kleine banken in de VS kan je zelfs niet vergelijken met de volksbank.

De vele rabo-licenties zijn niet meer.

rolandverh @WittiW • 11 december 2017 20:42

Zie hier dat er best nog wel wat banken in de VS bestaan. Daarnaast zijn er een flink aantal banken die slechts 1 of 2 producten aanbieden, zoals hypotheken, sparen of beleggen. Vooral de lokale banken (Credit Unions, zijn dat vaak) hebben slechts een of een paar filialen. Bij die instellingen is de beveiliging net zo belangrijk als bij de grote jongens.
Maar ook in Duitsland zijn nog veel 'kleine' banken te vinden. Denk aan Volksbanken en Raifeissenbanken.
Die hebben inmiddels wel veel infrastructuur gemoderniseerd en samengevoegd, maar ook hier is de beveiliging niet optimaal. Per slot van rekening is er op ieder van die kantoren een administrator nodig die net even wat meer kan dan de gewone medewerkers.

Visgek82 @Kafka • 12 december 2017 08:06

Ja hoor, tuurlijk

Paulus73 @Kafka • 12 december 2017 10:34

Dat blijkt dus niet het geval.

Kafka @Paulus73 • 12 december 2017 17:48

Dat is niet het netwerk maar de wallets. Als jouw portemonnee wordt gestolen wil nog niet zeggen dat de bank is gehackt.

Paulus73 @Kafka • 14 december 2017 12:09

Dan is dat een subtiel maar belangrijk verschil. Bedankt.
Probleem voor de consument is er wel degelijk. Voorzichtig zijn als je wat minder van de techniek weet dus.

Riyyi @Paulus73 • 13 december 2017 09:16

Tot nu toe is er nog geen successvolle aanval geweest op de technologie, waar de wallet is opgeslagen, de site zelf, die wordt wel gehackt.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (25)

Sorteer op:

Weergave: