Первая успешная атака на финансовую организацию в России была проведена в январе 2013 года, а в общей сложности злоумышленникам удалось похитить более миллиарда рублей, причем основная масса хищений пришлась на вторую половину 2014 года.
Для осуществления взлома хакеры поначалу использовали две программы: RDPdoor, которая позволяла получать удаленный доступ к банковской сети, и MBR Eraser для сокрытия следов взлома компьютеров и серверов под управлением операционной системы Windows. В комплект инструментов также входили легальные приложения для удаленного доступа Ammyy Admin и Team Viewer.
Позднее хакеры отказались от RDPdoor и Team Viewer. В 2014 году киберпреступники разработали троян под названием Anunak. С его помощью мошенники похищали логины и пароли для входа в Windows и вносили изменения в файерволы и системные файлы Windows. Кроме того, умело скрывающийся троян выполнял функцию кейлоггера и отправлял скриншоты на сервер злоумышленников.
Одним из методов заражения сетей была рассылка поддельных электронных писем от имени Центрального банка РФ с прикрепленным вложением, которое содержало вредоносный код. Он эксплуатировал некоторые из известных уязвимостей программ, работающих на платформе Windows. Также для заражения хакеры использовали ботнеты, покупая у них списки IP-адресов зараженных систем. Если в этих списках оказывались ПК целевых организаций, злоумышленники осуществляли взлом этих компьютеров через ботнет.
Сообщается также, что в дополнение к банковским и платежным системам хакеры получали доступ к почтовым серверам. Благодаря этому они могли следить за внутренней перепиской сотрудников и вовремя узнавать об обнаружении Anunak. Это позволяло преступникам предпринимать ответные меры.
По данным Group-IB, Anunak продолжает действовать и по сей день. Костяк группировки составляют граждане России и Украины, однако порой они прибегают к услугам фрилансеров, которые помогают им проникать в защищенные сети. Эти исполнители находятся в России, Украине и Беларуси.
За один раз мошенники похищают около двух миллионов долларов. При этом с момента взлома сети финансовой организации или платежной системы до хищения денег в среднем проходит 42 дня.
В отчете отмечается, что, получив доступ ко внутренним сетям финансовых организаций, хакеры стремились получить контроль и над банкоматами. Так, злоумышленники научились менять номинал выдаваемых купюр, и при запросе, к примеру, 10 банкнот номиналом 100 рублей машина выдавала 10 банкнот номиналом 5000 рублей. Всего, по данным аналитиков, преступники успешно взломали свыше 50 банкоматов, а объем похищенных из них средств превысил 50 миллионов рублей.
Стоит отметить, что интересы членов группировки Anunak не ограничиваются банковскими сетями. Хакеры также осуществляют атаки на СМИ и розничные сети в Европе и США. Кроме того, они атакуют компьютерные сети промышленных и государственных организаций с целью промышленного шпионажа и получения инсайдерской информации, позволяющей выгодно играть на биржах.