Na tropie rosyjskiego cybergangu stojącego za trojanem bankowym i nowym ransomware

4 marca, 2021

Badacze z firmy Kaspersky opublikowali notę dotyczącą incydentów, które zaobserwowano na terenie Rosji. Cyberprzestępcy, używając nowych odmian złośliwego oprogramowania, infekują komputery trojanem bankowym RTM (identyfikowanym pod nazwą Trojan-Banker.Win32.RTM) oraz nowym ransomware’m (Trojan-Ransom.Win32.Quoter / Trojan.Win32.Bazon.a). Szkodliwe oprogramowanie jest dostarczane na komputery użytkowników poprzez socjotechnikę (najczęściej w różnych kampaniach) mających na celu nakłonienie ofiarę do pobrania załącznika, kliknięcia w link, uruchomienia dokumentu ze złośliwym makro.

redaman trojan bankowy
Szkodliwy plik „ukryty” w załączniku.

Działalność cyberprzestępców, którzy są powiązani z wymienionymi atakami, zaobserwowano w grudniu 2020 roku. Jednakże największą aktywność trojana datuje się na rok 2019 (kilkadziesiąt tysięcy infekcji). To złośliwe oprogramowanie przeszeło do historii jako jedno z najbardziej aktywnych, zagrażających organizacjom w Rosji.

Złośliwe kampanie z udziałem trojana RTM trwają do dzisiaj. Firma Kaspersky podaje, że wśród ofiar mamy przynajmniej dziesięć rosyjskich organizacji z sektora transportu oraz finansów. Cyberprzestępcy za odszyfrowanie plików żądają jednorazowo 1 milion dolarów w cyfrowej walucie BTC. W przeciwnym razie szantażują firmy, że opublikują wykradzione od nich dokumenty z komputerów i serwerów.

Trojan bankowy, potem ransomware

Początkowo zastosowanie się do „instrukcji” cybergangu z wiadomości phishingowej implikuje instalację złośliwego oprogramowania Trojan-Banker.Win32.RTM. Na zainfekowanych urządzeniach instalowane są także legalne programy (np. LiteManager i RMS), które dają przestępcom zdalny dostęp do maszyn.

W taki sposób trojan infekował urządzenia
W taki sposób trojan infekował urządzenia.

Głównym celem cyberprzestępców jest poszukiwanie komputerów należących do działów księgowych i podmiana transakcji finansowych. Jeśli nie będzie to możliwe, to trojan otrzymuje polecenie pobrania ransomware Trojan-Ransom.Win32.Quoter. Zaszyfrowane dokumenty są wysyłane na serwer cyberprzestępców, którzy mają od teraz sposobność szantażowania organizacji.

Trojan bankowy RTM (znany jako Redaman) został wykryty pierwszy raz w 2017 roku przez badaczy z ESET. Jego dobra analiza została wykonana przez ekspertów z Palo Alto. Od tego czasu trojan przeszedł szereg modyfikacji. Był też częścią narzędzia cyberprzestępczego (RIG exploit kit) do automatycznego wyszukiwania podatności w systemach operacyjnych i niewidocznego infekowania komputerów (drive-by download), dlatego zaleca się regularne aktualizowanie systemów i aplikacji oraz używanie nowoczesnych rozwiązań do ochrony sieci i systemów.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Kliknij na gwiazdkę, aby zagłosować!

Średnia ocena: 0 / 5. Liczba głosów: 0

Jak na razie nikt nie podzielił się opinią.

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]