«Лаборатория Касперского» обнаружила серию целевых атак на российские компании с использованием ранее неизвестного шифровальщика3.03.2021 «Лаборатория Касперского» зафиксировала серию целевых атак на российские финансовые и транспортные компании. С декабря 2020 года по настоящее время жертвами злоумышленников стали уже около 10 организаций. В атаках, за которыми стоит русскоговорящая группа RTM, применяется ранее неизвестная программа-шифровальщик Quoter. Первичное заражение происходило путём распространения фишинговых писем. Судя по всему, злоумышленники выбирали тему, которая должна была, по их расчётам, заставить получателя открыть письмо, например «Повестка в суд», «Заявка на возврат», «Закрывающие документы» или «Копии документов за прошлый месяц». Если жертва переходила по ссылке или открывала вложение, то на её устройство загружался троянец RTM. После закрепления в системе и распространения по сети злоумышленники пытались перевести деньги через бухгалтерские программы посредством подмены зловредом реквизитов в платёжных поручениях или вручную с использованием средств удалённого доступа. Если же злоумышленникам это не удавалось, то они приводили в действие Quoter. Программа шифровала данные с помощью криптографического алгоритма AES и оставляла контакты для связи с атакующими. Если жертва не реагировала, злоумышленники сообщали, что готовы выложить в открытый доступ украденную конфиденциальную информацию, и прикладывали доказательства. В качестве выкупа атакующие требовали в среднем около миллиона долларов. Примечательно, что с момента закрепления в системе до применения шифровальщика проходило несколько месяцев. «Инциденты, к расследованию которых мы были привлечены, представляют серьёзную угрозу для компаний, поскольку злоумышленники стремятся достичь своей цели во что бы то ни стало. Их тактика включает применение сразу нескольких инструментов: фишинговое письмо с банковским троянцем и программу-шифровальщик, — комментирует Сергей Голованов, ведущий эксперт «Лаборатории Касперского». — Среди особенностей данной кампании можно назвать то, что русскоязычные злоумышленники RTM впервые изменили используемые инструменты, более того, теперь они атакуют российские компании. Последнее — редкость, обычно программы-шифровальщики используются в целевых атаках на организации из других стран». Решения «Лаборатории Касперского» детектируют шифровальщик Quoter как Trojan-Ransom.Win32.Quoter. Для противодействия сложным атакам «Лаборатория Касперского» рекомендует компаниям: • регулярно проводить для сотрудников тренинги по кибербезопасности, поскольку целевые атаки часто начинаются с фишинга или других техник социальной инженерии; • если на предприятии есть сегменты сети, которые должны быть изолированы от прочих сетей и интернета, регулярно проверять, так ли это на самом деле, например при помощи периодических анализов защищённости и тестов на проникновение; • в дополнение к основным защитным продуктам внедрить решение корпоративного уровня, способное детектировать продвинутые угрозы на сетевом уровне на ранней стадии, такое как Kaspersky Anti Targeted Attack Platform; • внедрить продукт с технологиями EDR, которые позволяют быстро и эффективно реагировать на сложные угрозы, такой как интегрированное решение «Лаборатории Касперского». Пресс-служба «Лаборатории Касперского» Тема:Безопасность |
© 2014. ИТ-Текст. Все права защищены.