Календарь мероприятий


Новые целевые атаки RTM

   Специалисты "Лаборатории Касперского" обнаружили новую вредоносную кампанию, за которой стоит русскоговорящая группировка RTM.
   Ее активная фаза началась в декабре 2020 года и продолжается до сих пор. Целью злоумышленников были деньги, однако в этот раз они не ограничились установкой банкера Trojan-Banker.Win32.RTM и подменой банковских реквизитов - в ход также пошли шифровальщик и шантаж. Известно о примерно десяти жертвах среди российских организаций из сфер транспорта и финансов.
   Подготовительная фаза кампании началась еще в середине 2019 года, когда ряд организаций получили фишинговые письма с "корпоративными" заголовками: "Повестка в суд", "Заявка на возврат", "Закрывающие документы" или "Копии документов за прошлый месяц". Текст письма был кратким, и для получения подробной информации требовалось открыть приложенный файл. Если получатель выполнял требование, на его компьютер устанавливалось вредоносное ПО - Trojan-Banker.Win32.RTM. Для последующего закрепления в системе и продвижения внутри локальной сети организации злоумышленники использовали легитимные программы для удаленного доступа, такие как LiteManager и RMS, а также несколько самодельных вредоносных утилит небольшого размера. Основной задачей злоумышленников был поиск компьютеров, принадлежащих сотрудникам бухгалтерии, и вмешательство в работу установленной системы дистанционного банковского обслуживания (ДБО), в частности, подмена реквизитов во время проведения финансовых операций.
   Но если раньше неудачное вмешательство в работу ДБО останавливало злоумышленников (или вынуждало предпринимать новые и новые попытки), то в рамках обнаруженной кампании они подготовили запасной план, и не один. Если банкер RTM не справлялся с работой, в дело вступала другая вредоносная программа - ранее неизвестный нам троянец, получивший впоследствии вердикт Trojan-Ransom.Win32.Quoter. Он шифровал содержимое всех компьютеров, до которых киберпреступники успели дотянуться, и оставлял сообщение с требованием выкупа. К этому времени с момента закрепления RTM в сети организации проходило несколько месяцев.
   Шифровальщик мы назвали Quoter, т.к. в код зашифрованных файлов он добавлял цитаты из популярных кинофильмов. Для работы зловред использует алгоритм AES-256 CBC.
   Если же и запасной план не срабатывал по тем или иным причинам, то спустя пару недель злоумышленники переходили к шантажу. Жертва получала сообщение, что ее данные были украдены и их возвращение обойдется буквально в миллион долларов (естественно, в биткоинах). В случае неуплаты вымогатели угрожали выложить конфиденциальную информацию в интернет для свободного скачивания. На размышление отводилось несколько дней.
   Примечательным в этой истории является не только переход стоящей за RTM группировки на нетипичные для нее методы "заработка" и инструменты - вымогательство и доксинг вполне укладываются в тренды последних лет. Необычно, что злоумышленники атакуют организации в России, хотя, как правило, шифровальщики используются в целевых атаках на организации из других стран.

Источник: https://securelist.ru/new-targeted-attacks-rtm/100720/

04.03.2021

Обсудить в нашей группе на Facebook
Обсудить новости на нашей странице на VKontakte


Новости для банков
22.04.2021
Деньги возвращаются с трудом: программами кэшбэка пользуются 17% держателей карт
22.04.2021
Названы регионы с самым высоким спросом на ипотечные кредиты
22.04.2021
Первый банк запустил переводы по телефону через систему ЦБ в банкоматах
22.04.2021
Доля просроченных долгов россиян по потребкредитам выросла до 25%
22.04.2021
Устойчивая эмиссия: выпуск цифровых карт сэкономит банкам до 54 млрд рублей Все новости
Новости ББТ
04.03.2021
Новые целевые атаки RTM
26.02.2021
Обновление раздела ББТ "Противодействие легализации" от 26.02.2021
26.02.2021
Обновление раздела ББТ "Внутренний контроль в банке" от 26.02.2021
26.02.2021
Обновление раздела ББТ "Кредитные операции в банке" от 26.02.2021
26.02.2021
Обновление раздела ББТ "Банковские риски" от 26.02.2021 Все новости
Новости библиотеки
23.04.2019
Обновление Электронной Библиотеки Банка от 23.04.2019
18.03.2019
Очередное обновление Электронной Библиотеки Банка от 18.03.2019 Все новости