Календарь мероприятий


Новые целевые атаки RTM

   Специалисты "Лаборатории Касперского" обнаружили новую вредоносную кампанию, за которой стоит русскоговорящая группировка RTM.
   Ее активная фаза началась в декабре 2020 года и продолжается до сих пор. Целью злоумышленников были деньги, однако в этот раз они не ограничились установкой банкера Trojan-Banker.Win32.RTM и подменой банковских реквизитов - в ход также пошли шифровальщик и шантаж. Известно о примерно десяти жертвах среди российских организаций из сфер транспорта и финансов.
   Подготовительная фаза кампании началась еще в середине 2019 года, когда ряд организаций получили фишинговые письма с "корпоративными" заголовками: "Повестка в суд", "Заявка на возврат", "Закрывающие документы" или "Копии документов за прошлый месяц". Текст письма был кратким, и для получения подробной информации требовалось открыть приложенный файл. Если получатель выполнял требование, на его компьютер устанавливалось вредоносное ПО - Trojan-Banker.Win32.RTM. Для последующего закрепления в системе и продвижения внутри локальной сети организации злоумышленники использовали легитимные программы для удаленного доступа, такие как LiteManager и RMS, а также несколько самодельных вредоносных утилит небольшого размера. Основной задачей злоумышленников был поиск компьютеров, принадлежащих сотрудникам бухгалтерии, и вмешательство в работу установленной системы дистанционного банковского обслуживания (ДБО), в частности, подмена реквизитов во время проведения финансовых операций.
   Но если раньше неудачное вмешательство в работу ДБО останавливало злоумышленников (или вынуждало предпринимать новые и новые попытки), то в рамках обнаруженной кампании они подготовили запасной план, и не один. Если банкер RTM не справлялся с работой, в дело вступала другая вредоносная программа - ранее неизвестный нам троянец, получивший впоследствии вердикт Trojan-Ransom.Win32.Quoter. Он шифровал содержимое всех компьютеров, до которых киберпреступники успели дотянуться, и оставлял сообщение с требованием выкупа. К этому времени с момента закрепления RTM в сети организации проходило несколько месяцев.
   Шифровальщик мы назвали Quoter, т.к. в код зашифрованных файлов он добавлял цитаты из популярных кинофильмов. Для работы зловред использует алгоритм AES-256 CBC.
   Если же и запасной план не срабатывал по тем или иным причинам, то спустя пару недель злоумышленники переходили к шантажу. Жертва получала сообщение, что ее данные были украдены и их возвращение обойдется буквально в миллион долларов (естественно, в биткоинах). В случае неуплаты вымогатели угрожали выложить конфиденциальную информацию в интернет для свободного скачивания. На размышление отводилось несколько дней.
   Примечательным в этой истории является не только переход стоящей за RTM группировки на нетипичные для нее методы "заработка" и инструменты - вымогательство и доксинг вполне укладываются в тренды последних лет. Необычно, что злоумышленники атакуют организации в России, хотя, как правило, шифровальщики используются в целевых атаках на организации из других стран.

Источник: https://securelist.ru/new-targeted-attacks-rtm/100720/

04.03.2021

Обсудить в нашей группе на Facebook
Обсудить новости на нашей странице на VKontakte


Новости для банков
28.07.2021
ЦБ уточнил методику оценки долговой нагрузки населения на макроуровне
28.07.2021
Льготную ипотеку под 7% могут расширить на частные дома
28.07.2021
Газпромбанк стал партнером новой российской экосистемы
28.07.2021
В полицию Татарстана обратились около 100 вкладчиков финансовой пирамиды
28.07.2021
"Ростелеком" предложил банкам наполнить ЕБС за счет собранной ими биометрии Все новости
Новости ББТ
15.07.2021
Глава ВЭБ.РФ заявил, что крупные региональные банки будут подключаться к проектам развития
29.06.2021
Обновление раздела ББТ "Противодействие легализации" от 29.06.2021
29.06.2021
Обновление раздела ББТ "Противодействие НИИИ/МР" от 29.06.2021
29.06.2021
Обновление раздела ББТ "Сделки и операции банка на фондовом и денежном рынках" от 29.06.2021
29.06.2021
Обновление раздела ББТ "Информационная безопасность банка" от 29.06.2021 Все новости
Новости библиотеки
23.04.2019
Обновление Электронной Библиотеки Банка от 23.04.2019
18.03.2019
Очередное обновление Электронной Библиотеки Банка от 18.03.2019 Все новости