Компания Group-IB, специализирующаяся на предотвращении кибератак, зафиксировала массовую вредоносную рассылку по финансовым учреждениям и предприятиям. Письма с трояном, предназначенным для хищения средств рассылались хакерами от имени различных российских госорганов.
"Начиная с 11 сентября система Group-IB Threat Intelligence (киберразведка) фиксировала массовые рассылки по российским банкам, промышленным и транспортным компаниям: 3210 писем было отправлено в сентябре, 2311 – в октябре, 4768 – в ноябре и 784 – в декабре. Рассылки шли волнами, пик пришелся на 24 и 27 сентября – 729 и 620 писем соответственно. В общей сложности с сентября до начала декабря хакеры отправили 11 073 писем с 2 900 различных электронных адресов, подделанных под госучреждения", – говорится в сообщении, опубликованном на сайте Group-IB.
Сообщается, что вредоносная активность была обнаружена и блокирована с помощью системы раннего предупреждения кибератак Threat Detection System Polygon (TDS), позволяющей "распаковывать" и проверять подозрительные письма в изолированной от основной сети банка среде.
По данным аналитиков, письма хакеров рассылаются от имени региональных управлений Роспотребнадзора, Россельхознадзора, Ростехнадзора, Росприроднадзора, Министерства труда, УФСИН, прокуратуры, судов и других ведомств. Каждое из писем, замаскированных под рассылку служебных документов, содержит вредоносное вложение, представляющее собой архив с исполняемым файлом. Распакованные файлы имеют фейковые иконки PDF-документов, что дополнительно вводит жертв атаки в заблуждение.
"После запуска извлеченного из архива файла происходит заражение компьютера. Банковский троян RTM с 2016 года стоящий "на вооружении" у одноименной хакерской группы, ориентирован на корпоративных пользователей, его цель — бухгалтерские программы для работы с системами дистанционного банковского обслуживания (ДБО)", –отметили в Group-IB.
Как уточнили в компании, этот троян имеет модульную структуру: его различные элементы отвечают за отдельные функции. Например, один модуль собирает информацию о зараженном компьютере и установленных на нем банковских и бухгалтерских приложениях, другой считывает нажатия кнопок клавиатуры, третий делает снимки экрана, а четвертый подменяет платежные реквизиты, записи базы доменных имен и сертификаты безопасности.
В процессе работы RTM похищает логин и пароль пользователя, а затем скачивает и запускает средства удаленного управления компьютером. После этого троян создает платежное поручение и отправляет его в систему ДБО через удаленное управление на зараженном компьютере, либо похищает аутентификационные данные и секретный ключ, используемые в системе ДБО. Во втором случае отправка поручения происходит уже с компьютера злоумышленника.
По данным Group-IB, в случае успешного хищения, в среднем, хакеры "зарабатывают" на таких атаках около 1 100 000 рублей с одного юрлица. "Среди потенциальных жертв RTM — банки, до сих пор игнорирующие установку средств защиты от целевых атак хакерских групп, а также те, кто редко проверяет текущее состояние инфраструктуры на предмет обнаружения подозрительной активности внутри периметра банка", – отметил руководитель Департамента сетевой безопасности Group-IB Никита Кислицин.
В компании также обратили внимание на тот факт, что опасность подобных атак связана с их продолжительностью: зачастую финансовые учреждения не проводят качественного реагирования на произошедший инцидент, считая его единичным. В результате вредоносная программа может месяцами эксплуатироваться злоумышленниками.
Напомним, в середине ноября в компании Positive Technologies сообщили, что большинство современных банкоматов уязвимо к хищению средств, а к утечке данных банковских карт клиентов уязвимы все банкоматы.