«Лаборатория Касперского» зафиксировала серию целевых атак на российские финансовые и транспортные компании

«Лаборатория Касперского» зафиксировала серию целевых атак на российские финансовые и транспортные компании

В атаках, за которыми стоит русскоговорящая группа RTM, применяется ранее неизвестная программа-шифровальщик Quoter.

«Лаборатория Касперского» зафиксировала серию целевых атак на российские финансовые и транспортные компании. С декабря 2020 года по настоящее время жертвами злоумышленников стали уже около 10 организаций. В атаках, за которыми стоит русскоговорящая группа RTM, применяется ранее неизвестная программа-шифровальщик Quoter.

Первичное заражение происходило путём распространения фишинговых писем. Судя по всему, злоумышленники выбирали тему, которая должна была, по их расчётам, заставить получателя открыть письмо, например «Повестка в суд», «Заявка на возврат», «Закрывающие документы» или «Копии документов за прошлый месяц». Если жертва переходила по ссылке или открывала вложение, то на её устройство загружался троянец RTM.

После закрепления в системе и распространения по сети злоумышленники пытались перевести деньги через бухгалтерские программы посредством подмены зловредом реквизитов в платёжных поручениях или вручную с использованием средств удалённого доступа. Если же злоумышленникам это не удавалось, то они приводили в действие Quoter. Программа шифровала данные с помощью криптографического алгоритма AES и оставляла контакты для связи с атакующими. Если жертва не реагировала, злоумышленники сообщали, что готовы выложить в открытый доступ украденную конфиденциальную информацию, и прикладывали доказательства. В качестве выкупа атакующие требовали в среднем около миллиона долларов. Примечательно, что с момента закрепления в системе до применения шифровальщика проходило несколько месяцев.

«Инциденты, к расследованию которых мы были привлечены, представляют серьёзную угрозу для компаний, поскольку злоумышленники стремятся достичь своей цели во что бы то ни стало. Их тактика включает применение сразу нескольких инструментов: фишинговое письмо с банковским троянцем и программу-шифровальщик, — комментирует Сергей Голованов, ведущий эксперт «Лаборатории Касперского». — Среди особенностей данной кампании можно назвать то, что русскоязычные злоумышленники RTM впервые изменили используемые инструменты, более того, теперь они атакуют российские компании. Последнее — редкость, обычно программы-шифровальщики используются в целевых атаках на организации из других стран».

Решения «Лаборатории Касперского» детектируют шифровальщик Quoter как Trojan-Ransom.Win32.Quoter.

В 2019 году Эксперты PT Expert Security Center рассказали, что интересы кибергруппы RTM шире, чем только финансовые компании: например, их атаки затрагивают также сферу промышленности. При этом, вместе с известными группировками Cobalt и Silence, RTM входит в тройку самых активных кибергруппировок, атакующих российских финансовый сектор. Преступники стремятся получить контроль над счетами атакуемых организаций и похитить находящиеся на них средства.



Anonymous объявили войну Илону Маску, ФБР следило за преступниками по всему миру через собственный зашифрованный чат, Apple возместила моральный вред американской студентке за слив ее интимных фото в новом выпуске Security-новостей на нашем Youtube канале.