ransomware
Nasi eksperci wykryli nową szkodliwą kampanię obejmującą stosunkowo szeroki wachlarz narzędzi. Wśród nich znajdowały się: trojan bankowy, program ransomware o nazwie Quoter (którego nasze system nie napotkały nigdy wcześniej), a także legalne programy dostępu zdalnego (LiteManager, RMS i najprawdopodobniej również inne). Cyberprzestępcy są powiązani z ugrupowaniem RTM.
Jak działają atakujący
Atak rozpoczyna się od standardowego phishingu: odbiorca otrzymuje wiadomość e-mail zawierającą coś, co wygląda na dokument, jednak w rzeczywistości jest to trojan. Aby zwiększyć prawdopodobieństwo otwarcia załącznika, oszuści używają tytułów, które przykuwają uwagę odbiorców firmowych. Nasi eksperci napotkali następujące warianty tytułów:
- wezwanie sądowe,
- żądanie zwrotu kosztów,
- dokumenty związane zamknięciem,
- kopie dokumentów za ostatni miesiąc.
Sam trojan nie jest nowy i konsekwentnie pojawiał się w naszych raportach w pierwszej dziesiątce bankowych szkodliwych programów od 2018 roku. Jeśli odbiorca kliknie załącznik i zainstaluje szkodliwy program, pobierze on na komputer dodatkowe narzędzia hakerskie.
Następnie cyberprzestępcy wyszukują w sieci komputery należące do pracowników działu księgowości i próbują zmanipulować system bankowości zdalnej, zamieniając własne szczegóły bankowe na te poprawne. Takie działania nie są nowe dla ugrupowania RTM. Co ciekawe, w ramach planu zapasowego gang uruchamiał innego trojana o nazwie Quoter (wykrywanego jako Trojan-Ransom.Win32.Quoter) — jego nazwę nawiązaliśmy do tego, że w kodzie szyfrowanych przez siebie plików umieszcza on cytaty z filmów.
Zgodnie z powszechną praktyką stosowaną przez współczesnych operatorów ransomware, RTM zdobywa informacje, a następnie grozi upublicznieniem ich, jeśli okup nie zostanie zapłacony na czas.
Cele ataków
Na tę chwilę nasi eksperci wiedzą o kilkudziesięciu ofiarach, z których wszystkie znajdują się na terenie Rosji i wszystkie pracują w obszarze usług transportowych lub finansowych. Jednak liczba ofiar z pewnością będzie większa; okres między infekcją a aktywacją programu ransomware, gdy atak staje się oczywisty, może wynosić nawet kilka miesięcy. W tym czasie atakujący penetrują sieci ofiary, wyszukując komputery z systemami bankowości zdalnej.
Mogą też pojawić się podobne ataki na firmy działające w innych regionach (cytaty są wstawiane w języku angielskim, co niekoniecznie może coś oznaczać, ale sugeruje, że gang myśli globalnie).
Jak zapewnić sobie ochronę przed takimi cyberzagrożeniami
Jak zwykle, skuteczna ochrona zaczyna się od edukacji pracowników: większość tego rodzaju ataków zaczyna się od wiadomości phishingowych, osoby, które mają świadomość zagrożeń i standardowych sztuczek stosowanych przez oszustów, z mniejszym prawdopodobieństwem złapią haczyk i stworzą zagrożenie dla firmy, możesz zorganizować szkolenie zdalnie, wykorzystując do tego celu wyspecjalizowaną platformę internetową.
w celu szybkiego wykrywania penetracji sieci firmowej przez osoby postronne oraz wykorzystania legalnych narzędzi do szkodliwych celów, stosuj zaawansowane narzędzia umożliwiające identyfikowanie zagrożeń złożonych.
Ponadto wszystkie komputery pracowników — a zwłaszcza te, które mają do czynienia z systemami bankowymi — muszą mieć rozwiązania zabezpieczające, które potrafią wykrywać zarówno znane, jak i całkowicie nowe zagrożenia.
Nasze produkty wykrywają nie tylko trojany bankowe RTM, ale także ransomware Quoter.
Porady