Шифровальщик и не только

Злоумышленники из RTM атакуют жертв при помощи шифровальщика, банковского трояна и средств удаленного доступа.

Наши эксперты обнаружили новую вредоносную кампанию, в ходе которой злоумышленники из группировки RTM применяют достаточно богатый арсенал инструментов. В ход идут и банковский троян, и новый, до сих пор не встречавшийся нашим системам шифровальщик-вымогатель Quoter, и вполне легитимные программы для удаленного доступа (как минимум LiteManager и RMS). Разумеется, преступники не забывают и воровать информацию для последующего шантажа ее публикацией.

Как злоумышленники действуют?

Атака начинается со стандартного фишинга. Злоумышленники рассылают троян Trojan-Banker.Win32.RTM, замаскированный под документ. Чтобы получатель гарантированно кликнул на вложение, письмо снабжается заголовком, который, по мнению операторов атаки, должен заинтересовать корпоративного получателя. Экспертам встретились варианты:

  • «Повестка в суд»
  • «Заявка на возврат»
  • «Закрывающие документы»
  • «Копии документов за прошлый месяц»

Сам по себе троян не новый — он стабильно встречается в наших отчетах в разделе «TOP 10 семейств банковского вредоносного ПО» с 2018 года. Если получатель кликает на вложение и устанавливает вредонос, то через некоторое время на его компьютер скачиваются и дополнительные хакерские инструменты.

Далее преступники ищут в сети компьютеры сотрудников бухгалтерии и пытаются манипулировать системой дистанционного банковского обслуживания, стараясь подменить реквизиты на собственные. Впрочем, такое поведение для RTM не ново. Интересно другое: если им не удавалось добраться до денег непосредственно, то они запускали еще один троян под названием Quoter (детектируется Trojan-Ransom.Win32.Quoter). Он шифровал содержимое всех компьютеров, к которым операторы атаки успевали получить доступ. Название шифровальщику дали наши эксперты, поскольку он зачем-то вставляет в код зашифрованных файлов цитаты из кинофильмов.

Как это заведено у современных операторов вымогательского ПО, они также выкачивали информацию и угрожали обнародовать ее, в том случае если выкуп не будет уплачен вовремя.

Кто был целью злоумышленников?

На данный момент наши эксперты знают о десятке жертв. Все они работают в России, в сфере транспорта или финансовых услуг. Однако не исключено, что жертв больше: между первичным заражением и активацией шифровальщика, после которой атака становится очевидной, может проходить до нескольких месяцев. Все это время злоумышленники исследуют сеть жертвы в поисках компьютеров с системами дистанционного банковского обслуживания.

Не исключено также, что аналогичной атаке будут подвергаться компании, работающие и в других регионах (по крайней мере, цитаты Quoter вставляет английские, международные). Чуть более подробную техническую информацию о новой кампании, с фрагментами вредоносного кода и индикатором компрометации, можно найти в публикации на блоге Securelist.

Как защититься от подобных киберугроз?

Как обычно, начинать следует с просвещения сотрудников — большая часть атак, аналогичных данной кампании, начинается с фишинговых писем. Поэтому если ваши коллеги будут знать о потенциальной опасности и стандартных уловках злоумышленников, то с меньшей вероятностью попадутся на крючок. Организовать обучение можно дистанционно, при помощи специализированной онлайновой платформы.

Для того чтобы вовремя обнаруживать горизонтальное движение злоумышленников по корпоративной сети и использование легитимных инструментов для вредоносных целей, можно воспользоваться продвинутыми инструментами для выявления сложных угроз.

Кроме того, все компьютеры сотрудников, особенно работающих с банковскими системами, должны быть снабжены защитными решениями, способными выявлять как известные, так и абсолютно новые угрозы.

Наши продукты успешно выявляют как банковский троян RTM, так и шифровальщик Quoter.

Советы