trojan

Cyberprzestępcy skupiają się na księgowych

Chociaż trojany Buhtrap i RTM mają różne funkcje i sposoby dystrybucji, ich cel pozostaje ten sam — kradzież pieniędzy z kont firm.

Pavel Shoshin
21/02/2019

Nasi eksperci odkryli, że cyberprzestępcy aktywnie skupiają się na sektorze małych i średnich firm, a szczególną uwagę poświęcają księgowym. Wybór ten jest dosyć logiczny — poszukują bezpośredniego dostępu do finansów. Ostatnio trend ten zamanifestował swoją obecność poprzez aktywność trojanów Buhtrap i RTM. Mają one różne funkcje i sposoby dystrybucji, jednak ich cel pozostaje ten sam — kradzież pieniędzy z kont firm.

Oba zagrożenia zostały dopasowane do firm, które działają w obszarze IT, usług prawnych i produkcji na niewielką skalę. Być może wynika to z faktu, że takie firmy mają znacznie mniejszy budżet na ochronę w porównaniu do firm działających w sektorze finansowym.

RTM

Trojan RTM infekuje ofiary zazwyczaj poprzez wykorzystanie wiadomości phishingowych, które nie odbiegają od zwykłej korespondencji firmowej (zawierają takie sformułowania jak „prośba o zwrot”, „kopie dokumentów z ostatniego miesiąca” czy „prośba o zapłatę”). Kliknięcie łącza lub otwarcie załącznika prowadzi do infekcji, która daje atakującym nieograniczony dostęp do systemu.

W 2017 roku nasze systemy zarejestrowały 2376 ataków trojana RTM na użytkowników, w 2018 roku było ich 130 000, tymczasem w niecałe dwa miesiące 2019 roku zanotowaliśmy ich aż 30 000. Jeśli trend ten utrzyma tempo, pobije zeszłoroczny rekord. Na tę chwilę możemy nazwać zagrożenie RTM jednym z najaktywniejszych trojanów finansowych.

Większość celów trojana RTM działa w Rosji. Jednak nasi eksperci spodziewają się, że zaatakuje on użytkowników w innych krajach.

Buhtrap

Buhtrap zarejestrowano po raz pierwszy w 2014 roku i wówczas była to nazwa grupy cyberprzestępczej, która kradła pieniądze z rosyjskich instytucji finansowych — w wysokości co najmniej 150 000 dolarów w każdym pomyślnym ataku. Po publicznym udostępnieniu kodu źródłowego ich narzędzi w 2016 roku nazwę Buhtrap zaczęto stosować w odniesieniu do trojana finansowego.

Buhtrap powrócił na początku 2017 roku w kampanii TwoBee, w której przede wszystkim był nośnikiem szkodliwego oprogramowania. W marcu ubiegłego roku pojawił się w informacjach (dosłownie), rozprzestrzeniając się poprzez kilka dużych agencji informacyjnych — cyberprzestępcy zaimplementowali na stronach głównych skrypty, które uruchamiały w przeglądarce odwiedzającego exploita przygotowanego dla Internet Explorera.

Kilka miesięcy później, w lipcu, cyberprzestępcy skupili się na grupie konkretnych użytkowników: księgowych pracujących w małych i średnich firmach. Na tę okoliczność utworzyli strony internetowe zawierające informacje przeznaczone dla księgowych.

Wspominamy o tym szkodliwym programie, ponieważ pod koniec 2018 roku ponownie zarejestrowaliśmy jego aktywność, która trwa do dziś. Ogólnie nasze systemy zabezpieczające udaremniły ponad 5 000 prób ataku szkodnika Buhtrap, a 250 z nich miało miejsce przed 2019 rokiem.

Podobnie jak poprzednio, Buhtrap rozprzestrzenia się poprzez exploity umieszczone w serwisach informacyjnych. Tu również najbardziej narażeni są użytkowy przeglądarki Internet Explorer: używa ona szyfrowanego protokołu do pobierania szkodliwego programu z zainfekowanych stron, co komplikuje przeprowadzenie analizy i sprawia, że szkodliwe programy mogą umknąć uwadze niektórych rozwiązań zabezpieczających. Szkodnik nadal używa luki, która została ujawniona w 2018 roku.

W efekcie infekcja zarówno trojanem Buhtrap, jak i RTM zapewnia pełny dostęp do zhakowanego sprzętu. Umożliwia to cyberprzestępcom podmianę plików używanych do wymiany danych między księgowymi a systemami bankowymi. Pliki te mają nazwy domyślne i w żaden sposób nie są zabezpieczone, dzięki czemu atakujący mogą je zmienić. Oszacowanie szkód nie jest łatwe, ale można przypuszczać, że cyberprzestępcy wyprowadzają za każdym razem kwoty nieprzekraczające 15 000 dolarów.

Jak można się zabezpieczyć przed wspomnianymi trojanami?

Aby zabezpieczyć swoją firmę przed takimi zagrożeniami, zalecamy zwrócenie szczególnej uwagi na ochronę komputerów — szczególnie tych używanych przez księgowe i zarząd — które mają dostęp do systemów finansowych. Oczywiście pozostałe komputery również potrzebują ochrony. Poniżej podaję kilka innych praktycznych porad:

Instaluj łaty bezpieczeństwa i aktualizacje dla całego oprogramowania tuż po ich pojawieniu się.
Staraj się nie używać na komputerach księgowych narzędzi administracji zdalnej.
Zablokuj możliwość instalacji wszelkich nieautoryzowanych programów.
Zwiększ ogólną świadomość w zakresie bezpieczeństwa pracowników, którzy mają do czynienia z finansami, ale skup się również na wprowadzeniu praktyk chroniących przed phishingiem.
Zainstaluj rozwiązanie zabezpieczające zawierające technologie analizowania zachowania, takie jak Kaspersky Endpoint Security for Business.

Migracja do chmury: nie tak szybko!

Na przestrzeni ostatnich lat analitycy i wizjonerzy nieustannie dyskutują o cyfrowej transformacji, przedstawiając migrację do chmury publicznej jako integralną część tego procesu. Co na ten temat uważają nasi eksperci?

Darmowe narzędzia

Ochrona ukierunkowana

Branże

Cyberprzestępcy skupiają się na księgowych

RTM

Buhtrap

Jak można się zabezpieczyć przed wspomnianymi trojanami?

Fakecalls: trojan, który rozmawia z ofiarami

Nowe sztuczki trojana Trickbot

Migracja do chmury: nie tak szybko!

Porady

Pięć wskazówek dotyczących ochrony przed oprogramowaniem ransomware

Przewodnik po bezpieczeństwie informacji dla nowych pracowników

Czy aplikacje mogą eliminować hałas?

Ataki ransomware na sektor opieki zdrowotnej

Zapisz się, aby otrzymywać informacje o nowych artykułach

Produkty dla domu

Produkty dla małych firm

Produkty dla średnich firm

Produkty dla korporacji

Securelist

Eugene Personal Blog