Новые целевые атаки RTM

   Специалисты "Лаборатории Касперского" обнаружили новую вредоносную кампанию, за которой стоит русскоговорящая группировка RTM.
   Ее активная фаза началась в декабре 2020 года и продолжается до сих пор. Целью злоумышленников были деньги, однако в этот раз они не ограничились установкой банкера Trojan-Banker.Win32.RTM и подменой банковских реквизитов - в ход также пошли шифровальщик и шантаж. Известно о примерно десяти жертвах среди российских организаций из сфер транспорта и финансов.
   Подготовительная фаза кампании началась еще в середине 2019 года, когда ряд организаций получили фишинговые письма с "корпоративными" заголовками: "Повестка в суд", "Заявка на возврат", "Закрывающие документы" или "Копии документов за прошлый месяц". Текст письма был кратким, и для получения подробной информации требовалось открыть приложенный файл. Если получатель выполнял требование, на его компьютер устанавливалось вредоносное ПО - Trojan-Banker.Win32.RTM. Для последующего закрепления в системе и продвижения внутри локальной сети организации злоумышленники использовали легитимные программы для удаленного доступа, такие как LiteManager и RMS, а также несколько самодельных вредоносных утилит небольшого размера. Основной задачей злоумышленников был поиск компьютеров, принадлежащих сотрудникам бухгалтерии, и вмешательство в работу установленной системы дистанционного банковского обслуживания (ДБО), в частности, подмена реквизитов во время проведения финансовых операций.
   Но если раньше неудачное вмешательство в работу ДБО останавливало злоумышленников (или вынуждало предпринимать новые и новые попытки), то в рамках обнаруженной кампании они подготовили запасной план, и не один. Если банкер RTM не справлялся с работой, в дело вступала другая вредоносная программа - ранее неизвестный нам троянец, получивший впоследствии вердикт Trojan-Ransom.Win32.Quoter. Он шифровал содержимое всех компьютеров, до которых киберпреступники успели дотянуться, и оставлял сообщение с требованием выкупа. К этому времени с момента закрепления RTM в сети организации проходило несколько месяцев.
   Шифровальщик мы назвали Quoter, т.к. в код зашифрованных файлов он добавлял цитаты из популярных кинофильмов. Для работы зловред использует алгоритм AES-256 CBC.
   Если же и запасной план не срабатывал по тем или иным причинам, то спустя пару недель злоумышленники переходили к шантажу. Жертва получала сообщение, что ее данные были украдены и их возвращение обойдется буквально в миллион долларов (естественно, в биткоинах). В случае неуплаты вымогатели угрожали выложить конфиденциальную информацию в интернет для свободного скачивания. На размышление отводилось несколько дней.
   Примечательным в этой истории является не только переход стоящей за RTM группировки на нетипичные для нее методы "заработка" и инструменты - вымогательство и доксинг вполне укладываются в тренды последних лет. Необычно, что злоумышленники атакуют организации в России, хотя, как правило, шифровальщики используются в целевых атаках на организации из других стран.

Источник: https://securelist.ru/new-targeted-attacks-rtm/100720/