Nossos especialistas detectaram uma nova forma de golpe envolvendo uma ampla gama de ferramentas. As ferramentas incluem um Trojan bancário, ransomware chamado Quoter (que nossos sistemas não haviam detectado anteriormente) e programas legítimos de acesso remoto (LiteManager e RMS, possivelmente outros). Os cibercriminosos estão associados ao grupo RTM.
Como funciona o ataque?
O ataque começa com um phishing padrão: os invasores enviam por e-mail o que parece ser um documento, mas na verdade é Trojan-Banker.Win32.RTM. Para fazer com que os destinatários abram o anexo, eles usam cabeçalhos de e-mail que chamam a atenção voltados para destinatários corporativos. Nossos especialistas encontraram as seguintes variantes:
- Intimação judical,
- Solicitação de reembolso,
- Documentos de cancelamento,
- Cópias de documentos do mês passado.
O Trojan em si não é novo, tendo aparecido consistentemente nos nossos relatórios das 10 principais famílias de malware bancário desde 2018. Se o destinatário clicar no anexo e instalar o malware, ele fará o download de ferramentas adicionais de hacking no computador.
Em seguida, os cibercriminosos procuram na rede os computadores dos funcionários da contabilidade e tentam manipular o sistema bancário remoto, substituindo seus próprios dados bancários pelos corretos. Mas nada disso é novo para RTM. Curiosamente, como um plano de backup, a gangue lançou o Quoter (outro Trojan, detectado como Trojan-Ransom.Win32.Quoter), que denominamos como tal porque insere citações de filmes no código dos arquivos que criptografa.
Como é prática comum para operadores de ransomware modernos, o RTM também desvia informações e, posteriormente, ameaça publicá-las se o resgate atrasar.
Os alvos
Até agora, nossos especialistas sabem de cerca de uma dúzia de vítimas, todas operando na Rússia, todas nas áreas de transporte ou serviços financeiros. No entanto, a contagem de vítimas tende a ser maior; o período entre a invasão inicial e a ativação do ransomware, quando o ataque se torna evidente, pode ser de vários meses. Durante esse tempo, os invasores exploram as redes das vítimas, em busca de computadores com sistemas bancários remotos.
Ataques semelhantes a empresas que operam em outras regiões podem ocorrer (Quoter insere citações em inglês, o que não significa necessariamente nada, mas sugere que o grupo tem uma visão internacional). Para uma visão geral um pouco mais técnica do novo ataque, incluindo fragmentos do código malicioso e os indicadores de comprometimento, consulte a publicação da Securelist.
Como se prevenir contra as ciberameaças?
Como de costume, a proteção eficaz começa com a educação do funcionário: a maioria dos ataques desse tipo começa com e-mails de phishing. Colegas que estão cientes do perigo e dos truques padrão dos intrusos têm menos probabilidade de morder a isca e colocar a empresa em perigo. Você pode organizar o treinamento remotamente usando uma plataforma online especializada.
Para a detecção oportuna de movimento lateral por intrusos através da rede corporativa e o uso de ferramentas legítimas para fins maliciosos, implante ferramentas avançadas para identificar ameaças complexas.
Além disso, todos os computadores dos funcionários, especialmente aqueles que trabalham com sistemas bancários, devem ter soluções de segurança que possam detectar ameaças conhecidas e completamente novas.
Nossos produtos detectam o Trojan bancário como o ransomware Quoter de RTM.