Наши эксперты обнаружили, что злоумышленники активно взялись за средний и малый бизнес, уделяя особое внимание бухгалтерам. В целом, их выбор логичен — все-таки это люди, через компьютеры которых проходят финансовые потоки. Среди недавних проявлений этой тенденции — активизация двух троянов: Buhtrap и RTM. У них разные возможности и разные пути распространения. Объединяет их цель — кража денег со счетов юридических лиц.
Обе угрозы особенно актуальны для компаний, работающих в сферах информационных технологий и юриспруденции, а также некрупных бизнесов, занимающихся производством. Скорее всего, это объясняется тем, что малый бизнес имеет значительно более скромные бюджеты на обеспечение информационной безопасности, чем, к примеру, компании, работающие в финансовом секторе.
RTM
RTM, как правило, попадает на машины жертв благодаря фишинговым рассылкам, имитирующим деловую переписку («Заявка на возврат», «Копии документов за прошлый месяц» или «Просьба оплатить дебиторскую задолженность»). Заражение происходит после перехода по ссылке или открытия вложения. После этого операторы трояна получают полный контроль над зараженной системой.
За весь 2017 год наши защитные системы зарегистрировали 2376 пользователей, атакованных RTM. В 2018-м количество атакованных выросло до 130 000. А менее чем за два месяца 2019-го мы уже видим более 30 000 целей. Таким образом, можно назвать RTM одним из самых активных на данный момент финансовых троянов. Предположительно, к концу года он побьет свой прошлогодний рекорд.
Большинство целей RTM работают на территории России. Однако никаких гарантий того, что в будущем его создатели не переключатся на остальной мир, нет. Киберпреступность редко соблюдает границы.
Buhtrap
Впервые о Buhtrap стало известно в 2014 году, тогда за этим названием скрывалась группировка, похищающая деньги российских кредитных организаций. Суммы, похищенные группой, исчислялись десятками миллионов рублей. В 2016 году исходные коды инструментария злоумышленников попали в открытый доступ, и под Buhtrap стали подразумевать троян.
В новой роли Buhtrap проявил себя в начале 2017 года в финансовой кампании TwoBee, где выступал в роли средства доставки. Но наиболее эффектно он «вышел на сцену» в марте 2018 года: зловред распространялся через крупные российские новостные сайты, в главные страницы которых злоумышленники внедрили вредоносный скрипт. В результате на компьютере посетителей выполнялся эксплойт для браузера Internet Explorer.
Спустя несколько месяцев, в июле, злоумышленники сузили «аудиторию» и вместо работы по площадям сконцентрировались на конкретных группах пользователей: бухгалтерах предприятий среднего и малого размера. Для этого они расставили ловушки, создав узкопрофильные сайты бухгалтерской тематики.
Вспомнить об этих троянах нас заставил скачок атак Buhtrap, начавшийся в конце прошлого года и продолжающийся в начале этого. Всего нашими защитными решениями было предотвращено более 5000 атак Buhtrap, а за первые месяцы 2019-го — около 250.
Buhtrap, как и прежде, распространяется через эксплойты, внедренные в новостные сайты. В группе риска пользователи браузера Internet Explorer. Для загрузки вредоносного скрипта с зараженного сайта используется шифрованный протокол, что затрудняет анализ и позволяет обойти детектирование со стороны некоторых защитных решений. Но в целом он до сих пор пользуется уязвимостью, которая была обнаружена еще в прошлом году.
В результате заражения Buhtrap и RTM предоставляют атакующим полный доступ к скомпрометированной рабочей станции. Злоумышленники могут легко изменить реквизиты получателя денег в файлах, предназначенных для обмена данными между бухгалтерскими и банковскими системами. По умолчанию такие файлы имеют стандартные имена и никак не защищены, что дает атакующим возможность изменять их в полностью автоматическом режиме. Оценить реальный ущерб довольно сложно, но по нашим данным, злоумышленники выводят деньги транзацкиями, каждая из которых не превышает одного миллиона рублей.
Что делать?
Для защиты от угроз этого типа мы рекомендуем обратить особое внимание на безопасность компьютеров работников финансовых отделов и руководителей, имеющих прямой доступ к финансовым системам. Впрочем, про все остальные машины также забывать не стоит. Вот чуть более практические советы:
- Необходимо своевременно устанавливать обновления ПО, закрывающие известные уязвимости.
- По возможности на компьютерах финансистов следует запретить запуск утилит удаленного администрирования, а также установку произвольных программ, не одобренных IT-службой.
- Имеет смысл повышать осведомленность сотрудников компаний, работающих с финансами. Желательно провести курс по инфобезопасности, с особым фокусом на фишинг.
- Ну и, разумеется, следует установить защитное решение с модулем поведенческого детектирования. Такое, как Kaspersky Security для бизнеса.