Атака хакеров RTM на финансовые организации

Компания Group-IB сообщила о массовой вредоносной рассылке по финансовым учреждениям и предприятиям. Злоумышленники отправили с фейковых почтовых адресов российских госучреждений более 11 тыс. писем, которые содержали троян RTM, предназначенный для кражи денег из сервисов дистанционного банковского обслуживания (ДБО) и платежных систем.

Начиная с 11 сентября система Group-IB Threat Intelligence фиксировала массовые рассылки по российским банкам, промышленным и транспортным компаниям: 3210 писем было отправлено в сентябре, 2311 – в октябре, в 4768 – в ноябре и 784 – в декабре. В общей сложности с сентября до начала декабря хакеры отправили 11 073 письма с 2900 электронных адресов, подделанных под госучреждения. Среди «отправителей»: региональные управления Роспотребнадзора, Россельхознадзора, Ростехнадзора, Росприроднадзора, Министерства труда и соцразвития, УФСИН, прокуратуры, судов и другие. Фальшивые письма были замаскированы под служебные документы, например «Оплата август-сентябрь», «Копии документов», «Служебная записка», «Отправка на четверг», и др. В Group-IB подчеркивают, что темы писем, равно как и адрес отправителя, постоянно меняются.

Письма содержат вредоносное вложение, представляющее собой архив с исполняемым файлом. Распакованные файлы имеют фейковые иконки «PDF», что дополнительно вводит пользователя в заблуждение. После запуска извлеченного из архива файла происходит заражение компьютера. Банковский троян RTM, известный с 2016 г., ориентирован на корпоративных пользователей, его цель – бухгалтерские программы для работы с системами ДБО.

Троян имеет классическую модульную структуру, в которой каждый элемент отвечает за отдельные функции, этапы заражения, хищения и вывода денег. Так, модули трояна собирают информацию о компьютере, об установленных банковских и бухгалтерских приложениях, считывают нажатия клавиатуры, делают снимки экрана, подменяют платежные реквизиты, записи базы доменных имен и сертификаты безопасности. Используется классическая схема хищения : RTM при помощи скриншотов и кейлоггера узнает логин и пароль пользователя, скачивает и запускает средства удаленного управления компьютером, после чего либо создается платежное поручение и отправляется в систему ДБО через удаленное управление на зараженном компьютере, либо похищаются аутентификационные данные и секретный ключ, используемые в системе ДБО, а отправка поручения происходит с компьютера злоумышленника. По данным Group-IB, в случае успешного хищения хакеры в среднем «зарабатывают» на таких атаках около 1,1 млн руб с одного юрлица.

В целом за осень, с сентября по ноябрь, преступная группа RTM предприняла несколько масштабных атак на крупные российские банки и предприятия. Вредоносная активность была обнаружена и блокирована с помощью системы раннего предупреждения кибератак Threat Detection System Polygon (TDS), позволяющей в безопасной, изолированной от основной сети банка среде «распаковывать» подозрительные письма, проверять их на наличие вредоносных вложений и выносить вердикт о степени опасности обнаруженного объекта.

Эксперты Group-IB также подчеркивают, что опасность подобных атак еще и в том, что они могут быть «долгоиграющими», так как зачастую финансовые учреждения не проводят качественного реагирования на произошедший инцидент, считая его единичным. Это позволяет трояну работать на своего создателя продолжительное время.