Группировка RTM похищает средства у российских компаний

Исследователи компании ESET выпустили подробный отчет о деятельности киберпреступной группировки RTM, беспрестанно атакующей коммерческие предприятия в России и соседних странах. Хакеры, активные как минимум с 2015 года, используют написанное на Delphi вредоносное ПО для слежки за пользователями. В частности, вредонос способен перехватывать нажатия на клавиатуре и считывать информацию с подключаемых к компьютерам карт памяти.

Используемый RTM инструмент может загружать файлы на зараженную систему со своего C&C-сервера. Специальный модуль способен обнаруживать системы, на которых установлено ПО для бухучета «1C: Enterprise 8». Данная программа используется на предприятиях в частности для осуществления денежных транзакций через системы дистанционного банковского обслуживания (ДБО).

В ходе анализа трафика зараженного компьютера исследователи зафиксировали запрос определенного файла, созданного программой «1C: Enterprise 8». Файл 1c_to_kl.txt содержит большой объем данных о перемещениях денежных средств и используется в качестве промежуточного шага в ДБО для выполнения платежных поручений. Изменив указанные в нем сведения (например, реквизиты получателей платежей), преступники могут получить материальную выгоду.

Подобную технику атак долгое время используют группировки Buhtrap и Corcow. Недавно об атаках на российские предприятия с подменой данных, передаваемых через системы ДБО, также сообщила «Лаборатория Касперского». В ходе кампании преступники смогли похитить у российских организаций более 200 млн рублей.