Перейти к содержанию

Обнаружены новые атаки группировки RTM | Блог Касперского

KL FC Bot
 Share

Рекомендуемые сообщения

KL FC Bot Гигант мысли

KL FC Bot

Опубликовано
Опубликовано

Наши эксперты обнаружили новую вредоносную кампанию, в ходе которой злоумышленники из группировки RTM применяют достаточно богатый арсенал инструментов. В ход идут и банковский троянец, и новый, до сих пор не встречавшийся нашим системам шифровальщик-вымогатель Quoter, и вполне легитимные программы для удаленного доступа (как минимум LiteManager и RMS). Разумеется, преступники не забывают и воровать информацию для последующего шантажа ее публикацией.

Как злоумышленники действуют?

Атака начинается со стандартного фишинга. Злоумышленники рассылают троянец Trojan-Banker.Win32.RTM, замаскированный под документ. Чтобы получатель гарантированно кликнул на вложение, письмо снабжается заголовком, который по мнению операторов атаки должен заинтересовать корпоративного получателя. Экспертам встретились варианты:

  • «Повестка в суд»
  • «Заявка на возврат»
  • «Закрывающие документы»
  • «Копии документов за прошлый месяц».

Сам по себе троянец не новый — он стабильно встречается в наших отчетах в разделе «TOP 10 семейств банковского вредоносного ПО» с 2018 года. Если получатель кликает на вложение и устанавливает вредонос, то через некоторое время на его компьютер скачиваются и дополнительные хакерские инструменты.

Далее преступники ищут в сети компьютеры сотрудников бухгалтерии и пытаются манипулировать системой дистанционного банковского обслуживания, пытаясь подменять реквизиты на собственные. Впрочем, такое поведение для RTM не ново. Интересно другое, если им не удавалось добраться до денег непосредственно, то они запускали еще один троянец под названием Quoter (детектируется Trojan-Ransom.Win32.Quoter), который шифровал содержимое всех компьютеров, к которым операторы атаки успевали получить доступ. Название шифровальщику дали наши эксперты, поскольку он зачем-то вставляет в код зашифрованных файлов цитаты из кинофильмов.

Как это заведено у современных операторов вымогательского ПО, они также выкачивали информацию и угрожали обнародовать ее, в том случае если выкуп не будет уплачен вовремя.

Кто был целью злоумышленников?

На данный момент наши эксперты знают о десятке жертв. Все они работают в России, в сфере транспорта или финансовых услуг. Однако не исключено, что жертв больше: между первичным заражением и активацией шифровальщика, после которой атака становится очевидной, может проходить до нескольких месяцев. Все это время злоумышленники исследуют сеть жертвы в поисках компьютеров с системами дистанционного банковского обслуживания.

Не исключено также, что аналогичная атака будет применяться и для атак на компании, работающие и в других регионах (по крайней мере цитаты Quoter вставляет английские, международные). Чуть более подробную техническую информацию о новой кампании, с фрагментами вредоносного кода и индикатором компрометации, можно найти в публикации на блоге Securelist.

Как защититься от подобных киберугроз?

Как обычно, начинать следует с просвещения сотрудников — большая часть атак, аналогичных данной кампании, начинается с фишинговых писем. Поэтому если ваши коллеги будут знать о потенциальной опасности и стандартных уловках злоумышленников, то с меньшей вероятностью попадутся на крючок. Организовать обучение можно дистанционно, при помощи специализированной онлайновой платформы.

Для того, чтобы вовремя обнаруживать горизонтальное движение злоумышленников по корпоративной сети и использование легитимных инструментов для вредоносных целей, можно воспользоваться продвинутыми инструментами для выявления сложных угроз.

Кроме того, все компьютеры сотрудников, особенно работающих с банковскими системами, должны быть снабжены защитными решениями, способными выявлять как известные, так и абсолютно новые угрозы.

Наши продукты успешно выявляют как банковский троянец RTM, так и шифровальщик Quoter.

View the full article

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      История атаки вымогателей на UnitedHealth | Блог Касперского
      От KL FC Bot
      Примерно год назад произошел масштабнейший ransomware-инцидент — атака на гиганта американского медицинского страхования, компанию UnitedHealth Group. Взлом имел настолько многочисленные и серьезные последствия, что все прошедшее с момента атаки время появлялись новые подробности о ходе атаки и ее итогах. К годовщине инцидента мы решили собрать все теперь уже доступные данные в одном материале.
      Ransomware-атака на UnitedHealth Group
      Сперва дадим контекст, который будет в особенности полезен для тех, кто не очень хорошо знаком с данной организацией. UnitedHealth Group — это крупнейшая компания на рынке медицинского страхования и медицинских услуг США. Ее капитализация составляет примерно $500 миллиардов. При этом UnitedHealth Group занимает девятое место по выручке среди всех корпораций мира, следуя в этом списке сразу после Apple.
      В состав UnitedHealth Group входят две компании. Первая из них, UnitedHealthcare, занимается медицинским страхованием. Вторая, Optum, специализируется на предоставлении разнообразных медицинских услуг — от фармацевтики и собственно медицинского обслуживания до ИТ-систем, используемых в здравоохранении.
      Последним занимается OptumInsight — одно из трех подразделений Optum, причем самое высокомаржинальное из них. Осенью 2022 года в OptumInsight вошла приобретенная UnitedHealth Group платформа Change Healthcare. Эта цифровая площадка обрабатывает заявления на получение страховых выплат, выступая в роли финансового посредника между пациентами, поставщиками медицинских услуг и страховщиками.
      Собственно, Change Healthcare и стала непосредственной целью атаки вымогателей: 21 февраля в ее системах начал работать шифровальщик, из-за чего платформа стала недоступна. Это вызвало настоящий хаос в американской системе здравоохранения: из-за невозможности быстрой обработки заявлений на страховые выплаты многие пациенты вынуждены были оплачивать лекарства и медицинские услуги из своего кармана. А медицинским учреждениям пришлось перейти в ручной режим обработки счетов.
      Восстановление пострадавших систем заняло многие месяцы: к примеру, клиринговый сервис Change Healthcare возобновил работу лишь в ноябре. В UnitedHealth Group даже создали специальный сайт, на котором можно следить за восстановительными работами. Даже сейчас, спустя год после атаки, на этом сайте публикуются регулярные обновления, а некоторые системы до сих пор имеют статус «доступна частично».
       
      View the full article
    • KL FC Bot
      Майнер XMRig атакует корпоративных пользователей | Блог Касперского
      От KL FC Bot
      Начиная с 31 декабря наша телеметрия начала фиксировать масштабную активность криптомайнера XMRig. Причем в большинстве случаев запуск зловреда детектировался домашними решениями, но в некоторых — корпоративными. Тщательное исследование проблемы показало, что некие злоумышленники распространяли зловред в торрентах с играми. Целью атаки, скорее всего, были именно геймеры из разных стран, включая Россию, Бразилию и Германию, однако, вероятно в силу того что некоторые сотрудники компаний используют рабочие компьютеры в личных целях, криптомайнер был обнаружен и в корпоративных сетях.
      Вредоносная кампания
      Кампания, ласково названная нашими аналитиками StaryDobry, была тщательно спланирована: вредоносные дистрибутивы создавались и загружались на торренты начиная с сентября по декабрь 2024 года. Разумеется, игры на торрентах были представлены в виде репаков — то есть модифицированных версий программ, в которые авторы раздачи уже встроили средства обхода проверки подлинности копии игры (иными словами, игры были взломаны).
      Пользователи успешно загружали и устанавливали их. До поры до времени троянизированные игры никак не проявляли себя, но 31 декабря они получили команду с удаленного сервера злоумышленников, начали скачивать майнер и запускать его на зараженном устройстве. Троянизированы были версии популярных компьютерных игр-симуляторов Garry’s Mod, BeamNG.drive, Universe Sandbox и некоторых других.
      Мы внимательно исследовали образец зловреда и вот что обнаружили.
      Перед запуском программа проверяет, запускается она в отладочной среде / «песочнице» или нет. Если да — процедура установки немедленно прекращается. Майнер представляет собой слегка модифицированный исполняемый файл XMRig, подробно о котором мы рассказывали в 2020 году. Если количество процессорных ядер устройства меньше 8, то майнер не запускается. Наши продукты детектируют использованные в этой вредоносной кампании зловреды, такие как Trojan.Win64.StaryDobry.*, Trojan-Dropper.Win64.StaryDobry.*, HEUR:Trojan.Win64.StaryDobry.gen. Больше технических подробностей и индикаторы компрометации можно найти в публикации Securelist.
       
      View the full article
    • KL FC Bot
      Атаки шифровальщиков в 2024 году | Блог Касперского
      От KL FC Bot
      В последние годы в блоге Kaspersky Daily мы стали уделять ransomware заметно меньше внимания, чем в былые времена. Но это вовсе не потому, что атаки вымогателей прекратились. Скорее наоборот — такие инциденты происходят настолько часто, что они уже давно стали привычным, практически фоновым явлением.
      Однако некоторые атаки вымогателей по-прежнему привлекают внимание своей экстраординарностью. В этом посте мы перечислим связанные с шифровальщиками-вымогателями инциденты 2024 года, которые выделялись на общем фоне своим масштабом, последствиями или необычными методами атакующих.
      Январь 2024: атака вымогателей на зоопарк Торонто
      Одним из первых значительных инцидентов 2024 года, связанных с ransomware, стала январская атака на крупнейший канадский зоопарк, расположенный в Торонто. Администрация зоопарка поспешила заверить общественность в том, что атака вымогателей не повлияла на работоспособность систем, связанных с уходом за животными. Более того, веб-сайт организации и сервис продажи билетов также не были затронуты, так что зоопарк продолжил принимать посетителей в обычном режиме.
      Официальный сайт зоопарка Торонто сообщает о кибератаке и уверяет, что с животными все в порядке. Источник
      Через некоторое время после атаки выяснилось, что атакующим удалось похитить значительное количество личной информации сотрудников зоопарка за период с 1989 года до наших дней. Таким образом, данный инцидент послужил очередным напоминанием о том, что даже очень далекие от критических секторов организации могут стать объектами атак вымогателей.
       
      View the full article
    • KL FC Bot
      В Steam обнаружена игра с трояном PirateFi | Блог Касперского
      От KL FC Bot
      Кажется, уже не осталось геймеров, которые не знают, что скачивать игры с торрент-трекеров небезопасно. Да, они там бесплатные, взломанные, иногда собраны в виде удобных репаков, но могут быть с вирусами, поэтому практически всегда защитные решения ругаются на них — самовольно отправляют торрент-файлы в карантин, не позволяют установить таблетку, кряк и… Спасибо им за это!
      То ли дело официальные магазины приложений вроде Steam — ну уж там-то точно все в порядке, правда? Как бы не так. В феврале в магазине обнаружили игру в комплекте с вредоносным ПО. Не переживайте: ее уже удалили, а игрокам рекомендовали проверить свои системы антивирусом.
      Симулятор выживания, в котором должен выжить ваш компьютер
      В центре внимания оказалась игра PirateFi — пользователям предлагалось как в одиночном режиме, так и в мультиплеере примерить на себя роль пирата-выживальщика. Кажется, выживать должны были не только игроки, но и их компьютеры.
      PirateFi позиционировала себя как бюджетная версия Sea of Thieves
      Бесплатная игра вышла 6 февраля, однако всего через четыре дня была удалена из магазина приложений из-за наличия в ней вредоносного ПО. Особой популярности не сыскала: около пяти игроков в пике и 165 подписчиков. Точное количество жертв неизвестно — по данным VG Insights, их около 1500, а по версии Gamalytic, у игры 859 загрузок.
       
      View the full article
    • KL FC Bot
      Заметные атаки на цепочку поставок в 2024 году | Блог Касперского
      От KL FC Bot
      Атака на цепочку поставок может свести на нет все усилия по обеспечению безопасности инфраструктуры компании. Предотвратить подобные атаки крайне непросто — ведь значительная часть действий злоумышленников происходят в инфраструктуре неподконтрольной ИБ-службе конечной цели. Это делает атаки на цепочку поставок одной из самых опасных угроз последних лет. Сегодня мы поговорим о масштабных инцидентах такого рода, которые привлекли наше внимание в 2024 году.
      Январь 2024: вредоносные npm-пакеты на GitHub воровали SSH-ключи у сотен разработчиков
      Первой значительной атакой на цепочку поставок в 2024 году стал инцидент с вредоносными npm-пакетами, которые в начале января были загружены на GitHub. Основной задачей модулей под названиями warbeast2000 и kodiak2k был поиск в зараженных системах SSH-ключей и их отправка создателям зловредов. Также некоторые версии пакета kodiak2k были дополнены скриптом для запуска Mimikatz — инструмента для поиска паролей в памяти.
      Всего злоумышленники успели опубликовать восемь версий warbeast2000 и более тридцати версий kodiak2k. К моменту обнаружения и удаления из репозитория вредоносные пакеты успели набрать 412 и 1281 загрузку соответственно — так что потенциально речь может идти о нескольких сотнях пострадавших разработчиков.
       
      View the full article
×
×
  • Создать...