Les pirates russes sont soupçonnés d'avoir volé près de 10 millions de dollars (7,5 millions de livres sterling) de 20 entreprises en Russie, au Royaume-Uni et aux États-Unis.

Le groupe MoneyTaker a supprimé les limites de découvert sur les cartes de débit et a pris l'argent des distributeurs de billets, selon un rapport de la firme de cybersécurité Group-IB. Il a également volé la documentation pour la technologie utilisée par plus de 200 banques aux États-Unis et en Amérique latine. Ces documents pourraient être utilisés dans de futures attaques par les pirates.

Le groupe IB a travaillé avec Europol et le gouvernement russe pour enquêter sur la cybercriminalité.

Kevin Curran, un expert indépendant et professeur de cybersécurité à l'Université d'Ulster, a déclaré que les attaques étaient "Aussi sophistiquées qu'elles le sont en ce moment… C'est vraiment parfait à certains égards, Ils sont capables de compromettre les systèmes, puis d'extraire tous les documents sur le fonctionnement d'un système bancaire afin qu'ils aient l'intelligence nécessaire pour produire des paiements frauduleux."

MoneyTaker aurait rapporté en moyenne 500 000 dollars en 16 attaques contre des entreprises américaines et 1,2 million en trois attaques contre des banques russes depuis mai 2016.Il a également ciblé un fournisseur de logiciels et de services basé au Royaume-Uni en décembre 2016.

Éliminer leurs traces

MoneyTaker a évité la détection en changeant constamment leurs outils et tactiques et en éliminant leurs traces après avoir terminé leurs opérations. Dans son attaque la plus connue, le groupe a compromis le réseau Star de First Data, un système de traitement de cartes de débit utilisé par plus de 5 000 banques. Les assaillants ont alors supprimé ou augmenté les retraits d'espèces et les limites de découvert sur les cartes de crédit et de débit légalement ouvertes. "Mules d'argent" ont été envoyées pour retirer des fonds de distributeurs automatiques.

Le groupe a utilisé une combinaison d'outils accessibles au public et de logiciels malveillants personnalisés pour accéder aux systèmes bancaires stockés dans la mémoire d'un ordinateur plutôt que sur son disque dur, où il peut être détecté plus facilement. En plus de l'argent, les pirates étaient également après la documentation du système bancaire interne, tels que les guides de l'administrateur, les instructions internes et les journaux de transactions.

Les prochaines cibles

La documentation a été volée lors des attaques de MoneyTaker contre le système de paiement russe Interbank, qui fonctionne de la même manière que Swift. Cette documentation pourrait être utilisée pour "préparer d'autres attaques" contre des banques utilisant cette technologie.

Le système de traitement des cartes FedLink d'OceanSystems, un produit de transfert utilisé par plus de 200 banques aux États-Unis et en Amérique latine, a également été compromis.

Les banques dépensent de plus en plus pour la sécurité, mais les hackers doivent seulement trouver un moyen d'entrer et ils doivent protéger toutes les voies.