Nasi eksperci odkryli, że cyberprzestępcy aktywnie skupiają się na sektorze małych i średnich firm, a szczególną uwagę poświęcają księgowym. Wybór ten jest dosyć logiczny — poszukują bezpośredniego dostępu do finansów. Ostatnio trend ten zamanifestował swoją obecność poprzez aktywność trojanów Buhtrap i RTM. Mają one różne funkcje i sposoby dystrybucji, jednak ich cel pozostaje ten sam — kradzież pieniędzy z kont firm.
Oba zagrożenia zostały dopasowane do firm, które działają w obszarze IT, usług prawnych i produkcji na niewielką skalę. Być może wynika to z faktu, że takie firmy mają znacznie mniejszy budżet na ochronę w porównaniu do firm działających w sektorze finansowym.
RTM
Trojan RTM infekuje ofiary zazwyczaj poprzez wykorzystanie wiadomości phishingowych, które nie odbiegają od zwykłej korespondencji firmowej (zawierają takie sformułowania jak „prośba o zwrot”, „kopie dokumentów z ostatniego miesiąca” czy „prośba o zapłatę”). Kliknięcie łącza lub otwarcie załącznika prowadzi do infekcji, która daje atakującym nieograniczony dostęp do systemu.
W 2017 roku nasze systemy zarejestrowały 2376 ataków trojana RTM na użytkowników, w 2018 roku było ich 130 000, tymczasem w niecałe dwa miesiące 2019 roku zanotowaliśmy ich aż 30 000. Jeśli trend ten utrzyma tempo, pobije zeszłoroczny rekord. Na tę chwilę możemy nazwać zagrożenie RTM jednym z najaktywniejszych trojanów finansowych.
Większość celów trojana RTM działa w Rosji. Jednak nasi eksperci spodziewają się, że zaatakuje on użytkowników w innych krajach.
Buhtrap
Buhtrap zarejestrowano po raz pierwszy w 2014 roku i wówczas była to nazwa grupy cyberprzestępczej, która kradła pieniądze z rosyjskich instytucji finansowych — w wysokości co najmniej 150 000 dolarów w każdym pomyślnym ataku. Po publicznym udostępnieniu kodu źródłowego ich narzędzi w 2016 roku nazwę Buhtrap zaczęto stosować w odniesieniu do trojana finansowego.
Buhtrap powrócił na początku 2017 roku w kampanii TwoBee, w której przede wszystkim był nośnikiem szkodliwego oprogramowania. W marcu ubiegłego roku pojawił się w informacjach (dosłownie), rozprzestrzeniając się poprzez kilka dużych agencji informacyjnych — cyberprzestępcy zaimplementowali na stronach głównych skrypty, które uruchamiały w przeglądarce odwiedzającego exploita przygotowanego dla Internet Explorera.
Kilka miesięcy później, w lipcu, cyberprzestępcy skupili się na grupie konkretnych użytkowników: księgowych pracujących w małych i średnich firmach. Na tę okoliczność utworzyli strony internetowe zawierające informacje przeznaczone dla księgowych.
Wspominamy o tym szkodliwym programie, ponieważ pod koniec 2018 roku ponownie zarejestrowaliśmy jego aktywność, która trwa do dziś. Ogólnie nasze systemy zabezpieczające udaremniły ponad 5 000 prób ataku szkodnika Buhtrap, a 250 z nich miało miejsce przed 2019 rokiem.
Podobnie jak poprzednio, Buhtrap rozprzestrzenia się poprzez exploity umieszczone w serwisach informacyjnych. Tu również najbardziej narażeni są użytkowy przeglądarki Internet Explorer: używa ona szyfrowanego protokołu do pobierania szkodliwego programu z zainfekowanych stron, co komplikuje przeprowadzenie analizy i sprawia, że szkodliwe programy mogą umknąć uwadze niektórych rozwiązań zabezpieczających. Szkodnik nadal używa luki, która została ujawniona w 2018 roku.
W efekcie infekcja zarówno trojanem Buhtrap, jak i RTM zapewnia pełny dostęp do zhakowanego sprzętu. Umożliwia to cyberprzestępcom podmianę plików używanych do wymiany danych między księgowymi a systemami bankowymi. Pliki te mają nazwy domyślne i w żaden sposób nie są zabezpieczone, dzięki czemu atakujący mogą je zmienić. Oszacowanie szkód nie jest łatwe, ale można przypuszczać, że cyberprzestępcy wyprowadzają za każdym razem kwoty nieprzekraczające 15 000 dolarów.
Jak można się zabezpieczyć przed wspomnianymi trojanami?
Aby zabezpieczyć swoją firmę przed takimi zagrożeniami, zalecamy zwrócenie szczególnej uwagi na ochronę komputerów — szczególnie tych używanych przez księgowe i zarząd — które mają dostęp do systemów finansowych. Oczywiście pozostałe komputery również potrzebują ochrony. Poniżej podaję kilka innych praktycznych porad:
- Instaluj łaty bezpieczeństwa i aktualizacje dla całego oprogramowania tuż po ich pojawieniu się.
- Staraj się nie używać na komputerach księgowych narzędzi administracji zdalnej.
- Zablokuj możliwość instalacji wszelkich nieautoryzowanych programów.
- Zwiększ ogólną świadomość w zakresie bezpieczeństwa pracowników, którzy mają do czynienia z finansami, ale skup się również na wprowadzeniu praktyk chroniących przed phishingiem.
- Zainstaluj rozwiązanie zabezpieczające zawierające technologie analizowania zachowania, takie jak Kaspersky Endpoint Security for Business.