Целевые атаки RTM на финансовые и транспортные компании
«Лаборатория Касперского» сообщила о серии целевых атак на российские финансовые и транспортные компании, жертвами которой с декабря 2020 г. по настоящее время стали около 10 организаций. По данным компании, в атаках, за которыми стоит русскоговорящая группа RTM, применяется ранее неизвестная программа-шифровальщик Quoter.
Первичное заражение происходило путем распространения фишинговых писем. Как считают эксперты, злоумышленники выбирали тему, которая должна была заставить получателя открыть письмо, например, «Повестка в суд», «Заявка на возврат», «Закрывающие документы» или «Копии документов за прошлый месяц». Если жертва переходила по ссылке или открывала вложение, то на ее устройство загружался троянец RTM.
После закрепления в системе и распространения по сети злоумышленники пытались перевести деньги через бухгалтерские программы посредством подмены зловредом реквизитов в платежных поручениях или вручную с использованием средств удаленного доступа. Если же злоумышленникам это не удавалось, то они приводили в действие Quoter. Программа шифровала данные с помощью криптографического алгоритма AES и оставляла контакты для связи с атакующими. Если жертва не реагировала, злоумышленники сообщали, что готовы выложить в открытый доступ украденную конфиденциальную информацию, прикладывая доказательства. В качестве выкупа требовали в среднем около 1 млн долл. Как отмечают эксперты, с момента закрепления в системе до применения шифровальщика могло пройти несколько месяцев.
Как комментируют в «Лаборатории Касперского», инциденты, к расследованию которых были привлечены ее эксперты, представляют серьезную угрозу для компаний, поскольку злоумышленники стремятся достичь своей цели во что бы то ни стало. Их тактика включает применение сразу нескольких инструментов, таких как фишинговое письмо с банковским троянцем и программу-шифровальщик. Среди особенностей кампании специалисты отмечают, что русскоязычные злоумышленники RTM впервые изменили используемые инструменты, более того, теперь они атакуют российские компании. Это редкость, обычно программы-шифровальщики используются в целевых атаках на организации из других стран.
Решения «Лаборатории Касперского» детектируют шифровальщик Quoter как Trojan-Ransom.Win32.Quoter.