MoneyTaker также атакует адвокатские конторы и производителей финансового программного обеспечения. В целом, на счету MoneyTaker 16 атак на компании США, 3 – на банки России и 1 – в Великобритании. В США средний ущерб от одной атаки составляет 500 тыс долл. В России средний объем извлеченных группой денежных средств в следствии компрометации АРМ КБР – 72 млн руб.
Группа долгое время оставалась незамеченной используя обширный арсенал инструментов, позволяющих обходить антивирусные и антиспам системы, уничтожать любые следы атаки и значительно затруднять исследование инцидентов постфактум.
Первая атака, с которой связана эта группа, была проведена весной 2016 года, когда из банка США были похищены деньги в результате получения доступа к системе карточного процессинга STAR компании FirstData. В августе 2016 года они взломали один из банков в России, где использовали программу для автоматического перевода денег через систему межбанковских переводов Центрального банка России АРМ КБР.
Всего же за 2016 года Group-IB зафиксировала 10 атак, реализованных MoneyTaker: 6 – на банки в США, 1 – на американского провайдера ИТ-услуг, 1 – на банк Англии и 2 – на российские банки. Лишь одна из них – в российском банке – была оперативно выявлена и предотвращена.
С 2017 году география сузилась до России и США.
MoneyTaker всегда стараются похищать внутреннюю документацию по работе с банковскими системами во всех странах: руководства администраторов, внутренние инструкции и регламенты, формы заявок на внесение изменений, журналы транзакций и т.п.
Информация о деятельности группы MoneyTaker направлена компанией Group-IB в Европол, Интерпол и МВД.