俄羅斯資安業者Group-IB於12/11發布訊息， 一俄國駭客組織一年來入侵銀行轉帳網路，至少18家美國、俄羅斯銀行遭自ATM盜領現金近1000萬美元。Group-IB研究人員指出，被稱為MoneyTaker的俄國駭客組織自2016年春天開始，暗中使用同名惡意程式針對美國、英國及俄羅斯金融機構及法律事務所發動超過20次攻擊。其中可確認其中16次攻擊美國企業，俄國及英國則分別遭到3次和1次攻擊。該團體於2016年春天首先入侵First Data的STAR網路入口網站的用戶帳密，藉此成功竊走為數不詳的金錢。STAR為全美第一大ATM轉帳網路，連結超過5,000家銀行的ATM，並在拉丁美洲受到廣泛使用。其他受害者包括俄羅斯的AW CRB網路，甚至可能有SWIFT。此外也曾入侵美國包括加州、佛州、猶他等11州的銀行。
 

路透社報導，駭客經過精心策劃從轉帳網路攔截付款指令後，再派車手到ATM盜領現金，估計18個月來至少有18家銀行受害，共被領走將近1,000萬美元。而美國14起ATM盜領案中平均一次損失50萬美元，而俄國銀行平均被領走120萬美元。目前MoneyTaker背後組織身份不明，Group-IB研究人員指出，該組織用以發動攻擊的全是很容易公開取得的工具，這使得調查加倍困難。目前得知該集團使用Metasploit等滲透內部網路，並運用SSL加密保護C&C伺服器及潛伏的Meterpreter之間的指令。此外也曾用Citadel及Kronos等常見的銀行木馬，來植入ScanPOS等惡意程式。
 

駭客透過取得銀行的管理員文件、內部法規及命令、變更申請表、交易紀錄檔等，藉此熟悉銀行的內部作業流程，為將來攻擊做準備。例如一份如何利用SWIFT轉帳的文件，根據內容及地理區判斷，拉丁美洲銀行是MoneyTaker下一階段攻擊目標。另外，研究人員也發現，駭客會在犯案後持續觀察受害銀行，且傳送公司郵件和其他檔案到Yandex及Mail.ru等免費郵件服務。研究人員已經將MoneyTaker的資料交給歐盟刑警組織(EUROPOL)及國際刑警組織(INTERPOL)。

資料來源：https://www.reuters.com/article/us-cyber-banks-atm/hackers-hit-u-s-russian-banks-in-atm-robbery-scam-report-idUSKBN1E51SZ