Российские финансовые и транспортные компании атаковал шифровальщик Quoter - «Новости»

  • 00:00, 05-мар-2021
  • Преимущества стилей / Новости / Текст / Заработок / Ссылки / Добавления стилей / Изображения
  • Тихон
  • 0

«Лаборатория Касперского» сообщила, что с декабря 2020 года по настоящее время ранее неизвестный шифровальщик Quoter атакует российские финансовые и транспортные компании, и его жертвами стали уже около 10 организаций. Исследователи считают, что за атакам стоит русскоговорящая группа RTM.


Подготовительная фаза кампании началась еще в середине 2019 года. Первичное заражение происходило через фишинговые письма. Злоумышленники выбирали тему, которая должна была, по их расчетам, заставить получателя открыть письмо, например «Повестка в суд», «Заявка на возврат», «Закрывающие документы» или «Копии документов за прошлый месяц». Если жертва переходила по ссылке или открывала вложение, то на ее устройство загружался троян RTM.


После закрепления в системе и распространения по сети злоумышленники пытались перевести деньги через бухгалтерские программы (посредством подмены реквизитов в платежных поручениях малварью или вручную). Если же злоумышленникам это не удавалось, то они приводили в действие Quoter.



Фрагмент кода малвари

Малварь шифровала данные с помощью криптографического алгоритма AES и оставляла контакты для связи с атакующими. Если жертва не реагировала, злоумышленники сообщали, что готовы выложить в открытый доступ украденную конфиденциальную информацию, и прикладывали доказательства. В качестве выкупа атакующие требовали в среднем около миллиона долларов. Примечательно, что с момента закрепления в системе до применения шифровальщика проходило несколько месяцев.


«Среди особенностей данной кампании можно назвать то, что русскоязычные злоумышленники RTM впервые изменили используемые инструменты, более того, теперь они атакуют российские компании. Последнее — редкость, обычно программы-шифровальщики используются в целевых атаках на организации из других стран», — комментирует Сергей Голованов, ведущий эксперт «Лаборатории Касперского».


«Лаборатория Касперского» сообщила, что с декабря 2020 года по настоящее время ранее неизвестный шифровальщик Quoter атакует российские финансовые и транспортные компании, и его жертвами стали уже около 10 организаций. Исследователи считают, что за атакам стоит русскоговорящая группа RTM. Подготовительная фаза кампании началась еще в середине 2019 года. Первичное заражение происходило через фишинговые письма. Злоумышленники выбирали тему, которая должна была, по их расчетам, заставить получателя открыть письмо, например «Повестка в суд», «Заявка на возврат», «Закрывающие документы» или «Копии документов за прошлый месяц». Если жертва переходила по ссылке или открывала вложение, то на ее устройство загружался троян RTM. После закрепления в системе и распространения по сети злоумышленники пытались перевести деньги через бухгалтерские программы (посредством подмены реквизитов в платежных поручениях малварью или вручную). Если же злоумышленникам это не удавалось, то они приводили в действие Quoter. Фрагмент кода малвари Малварь шифровала данные с помощью криптографического алгоритма AES и оставляла контакты для связи с атакующими. Если жертва не реагировала, злоумышленники сообщали, что готовы выложить в открытый доступ украденную конфиденциальную информацию, и прикладывали доказательства. В качестве выкупа атакующие требовали в среднем около миллиона долларов. Примечательно, что с момента закрепления в системе до применения шифровальщика проходило несколько месяцев. «Среди особенностей данной кампании можно назвать то, что русскоязычные злоумышленники RTM впервые изменили используемые инструменты, более того, теперь они атакуют российские компании. Последнее — редкость, обычно программы-шифровальщики используются в целевых атаках на организации из других стран», — комментирует Сергей Голованов, ведущий эксперт «Лаборатории Касперского».

Другие новости

Реклама


Рекомендуем

Комментарии (0)

Комментарии для сайта Cackle



Уважаемый посетитель нашего сайта!
Комментарии к данной записи отсутсвуют. Вы можете стать первым!