Календарь мероприятий


Новые целевые атаки RTM

   Специалисты "Лаборатории Касперского" обнаружили новую вредоносную кампанию, за которой стоит русскоговорящая группировка RTM.
   Ее активная фаза началась в декабре 2020 года и продолжается до сих пор. Целью злоумышленников были деньги, однако в этот раз они не ограничились установкой банкера Trojan-Banker.Win32.RTM и подменой банковских реквизитов - в ход также пошли шифровальщик и шантаж. Известно о примерно десяти жертвах среди российских организаций из сфер транспорта и финансов.
   Подготовительная фаза кампании началась еще в середине 2019 года, когда ряд организаций получили фишинговые письма с "корпоративными" заголовками: "Повестка в суд", "Заявка на возврат", "Закрывающие документы" или "Копии документов за прошлый месяц". Текст письма был кратким, и для получения подробной информации требовалось открыть приложенный файл. Если получатель выполнял требование, на его компьютер устанавливалось вредоносное ПО - Trojan-Banker.Win32.RTM. Для последующего закрепления в системе и продвижения внутри локальной сети организации злоумышленники использовали легитимные программы для удаленного доступа, такие как LiteManager и RMS, а также несколько самодельных вредоносных утилит небольшого размера. Основной задачей злоумышленников был поиск компьютеров, принадлежащих сотрудникам бухгалтерии, и вмешательство в работу установленной системы дистанционного банковского обслуживания (ДБО), в частности, подмена реквизитов во время проведения финансовых операций.
   Но если раньше неудачное вмешательство в работу ДБО останавливало злоумышленников (или вынуждало предпринимать новые и новые попытки), то в рамках обнаруженной кампании они подготовили запасной план, и не один. Если банкер RTM не справлялся с работой, в дело вступала другая вредоносная программа - ранее неизвестный нам троянец, получивший впоследствии вердикт Trojan-Ransom.Win32.Quoter. Он шифровал содержимое всех компьютеров, до которых киберпреступники успели дотянуться, и оставлял сообщение с требованием выкупа. К этому времени с момента закрепления RTM в сети организации проходило несколько месяцев.
   Шифровальщик мы назвали Quoter, т.к. в код зашифрованных файлов он добавлял цитаты из популярных кинофильмов. Для работы зловред использует алгоритм AES-256 CBC.
   Если же и запасной план не срабатывал по тем или иным причинам, то спустя пару недель злоумышленники переходили к шантажу. Жертва получала сообщение, что ее данные были украдены и их возвращение обойдется буквально в миллион долларов (естественно, в биткоинах). В случае неуплаты вымогатели угрожали выложить конфиденциальную информацию в интернет для свободного скачивания. На размышление отводилось несколько дней.
   Примечательным в этой истории является не только переход стоящей за RTM группировки на нетипичные для нее методы "заработка" и инструменты - вымогательство и доксинг вполне укладываются в тренды последних лет. Необычно, что злоумышленники атакуют организации в России, хотя, как правило, шифровальщики используются в целевых атаках на организации из других стран.

Источник: https://securelist.ru/new-targeted-attacks-rtm/100720/

04.03.2021

Обсудить в нашей группе на Facebook
Обсудить новости на нашей странице на VKontakte


Новости для банков
16.04.2021
Эксперты рассказали, как цифровой рубль отразится на банках
16.04.2021
Платежи обогнули закон: карты Diners Club обслуживались благодаря нарушениям банка-партнера
16.04.2021
Инвесторы спокойно отнеслись к санкциям против ОФЗ
16.04.2021
Установлены факты манипулирования рынком на торгах ряда ценных бумаг
16.04.2021
Сбер попросил до 8 лет тюрьмы за утечку баз клиентов банков Все новости
Новости ББТ
04.03.2021
Новые целевые атаки RTM
26.02.2021
Обновление раздела ББТ "Противодействие легализации" от 26.02.2021
26.02.2021
Обновление раздела ББТ "Внутренний контроль в банке" от 26.02.2021
26.02.2021
Обновление раздела ББТ "Кредитные операции в банке" от 26.02.2021
26.02.2021
Обновление раздела ББТ "Банковские риски" от 26.02.2021 Все новости
Новости библиотеки
23.04.2019
Обновление Электронной Библиотеки Банка от 23.04.2019
18.03.2019
Очередное обновление Электронной Библиотеки Банка от 18.03.2019 Все новости