O ataque terá tido origem num router desprotegido de uma agência do PIR Bank. A partir daí, os atacantes conseguiram entrar na rede de todo o banco e desviado o dinheiro. Segundo a empresa de segurança Group-IB, os MoneyTaker já conduziram mais de 20 ataques a instituições financeiras e legais no Reino Unido, EUA e Rússia, tendo conseguido roubar mais de 14 milhões de dólares.
Uma das grandes especialidades destes hackers passa por esconderem vestígios da sua atividade, mas os investigadores conseguiram detetar padrões em táticas, técnicas e processos usados nos vários golpes. O modus operandi consiste em passar alguns meses a fazer reconhecimento depois de terem acesso a uma rede. Depois, tentam manter-se ativos dentro da rede, mesmo depois de já terem conseguido roubar o dinheiro.
O grupo de hackers usa várias ferramentas gratuitas populares entre os piratas e especialistas, mas muito do malware “não tem” ficheiros, ou seja, existe apenas na memória do computador e não é alojado em disco.
O ataque desta vez terá começado em maio de 2018 e tido origem num router de uma sucursal, a partir de onde foram feitos túneis até à rede principal do banco. Só a 4 de julho é que os funcionários do banco encontraram as transações de valores avultados e não autorizadas. Quando as tentaram bloquear ou cancelar, aperceberam-se de que o dinheiro tinha sido transferido para 17 diferentes contas e imediatamente levantado.