ransomware
I nostri esperti hanno rilevato una nuova campagna dannosa che coinvolge una gamma abbastanza ampia di tool, tra cui un Trojan bancario, un ransomware chiamato Quoter (che i nostri sistemi non avevano riscontrato in precedenza) e alcuni programmi legittimi di accesso remoto (LiteManager e RMS, forse altri). I criminali informatici sono associati al gruppo RTM.
Come agiscono i cybercriminali?
L’attacco inizia con il phishing standard: i criminali informatici inviano via e-mail quello che sembra essere un documento, ma è in realtà il Trojan-Banker.Win32.RTM. Per indurre i destinatari ad aprire l’allegato, vengono utilizzate delle intestazioni e-mail che attirano l’attenzione di destinatari aziendali. I nostri esperti si sono imbattuti nelle seguenti varianti:
- Citazione in giudizio;
- Richiesta di rimborso;
- Documenti per la chiusura di una pratica;
- Copie di documenti del mese precedente.
Il Trojan in sé non è nuovo, lo troviamo costantemente nei nostri report delle 10 migliori generazioni di malware bancari fin dal 2018. Se il destinatario clicca sull’allegato e installa il malware, quest’ultimo scarica sul computer ¡strumenti aggiuntivi di hacking.
Successivamente, i criminali informatici cercano nella rete i computer dei dipendenti della contabilità e provano a manipolare il sistema bancario da remoto sostituendo le informazioni bancarie dell’azienda con le proprie. Una tattica già vista da parte del gruppo RTM. È interessante notare che, come piano di riserva, il gruppo ha lanciato Quoter (un altro Trojan, rilevato come Trojan-Ransom.Win32.Quoter), che abbiamo chiamato così perché inserisce citazioni cinematografiche nel codice dei file che cifra.
Come accade di solito tra i creatori moderni di ransomware, il gruppo RTM si appropria anche di alcune informazioni e poi minaccia di pubblicarle se il riscatto non viene pagato in tempo.
I bersagli
Finora i nostri esperti sono a conoscenza di circa una decina di vittime, tutte operanti in Russia nel settore dei trasporti o dei servizi finanziari. Tuttavia, il numero delle vittime è destinato a essere più alto; il periodo tra l’infezione iniziale e l’attivazione del ransomware, quando l’attacco diventa evidente, può durare diversi mesi. Durante questo periodo, i cybercriminali esplorano le reti delle vittime, alla ricerca di computer con sistemi bancari da remoto.
Attacchi simili potrebbero verificarsi prossimamente, rivolti ad aziende che operano in altre regioni (Quoter inserisce citazioni in inglese, il che non significa necessariamente qualcosa, ma fa pensare a una visione internazionale da parte del gruppo). Per maggiori dettagli tecnici sulla nuova campagna, compresi frammenti di codice dannoso e gli indicatori di compromissione, potete dare un’occhiata al nostro post su Securelist.
Come proteggersi da questo tipo di minacce
Come al solito, una protezione efficace parte da una formazione adeguata dei dipendenti: sappiamo, infatti, che la maggior parte degli attacchi di questo tipo inizia con delle e-mail di phishing. Il personale consapevole del pericolo e dei trucchi standard dei criminali informatici è meno propenso ad abboccare all’amo e a mettere in pericolo l’azienda. È possibile organizzare la formazione da remoto utilizzando una piattaforma online specializzata.
Per il rilevamento tempestivo del movimento laterale dei cybercriminali lungo la rete aziendale e l’uso di tool legittimi per scopi dannosi, implementate tool avanzati per identificare minacce complesse.
Inoltre, tutti i computer dei dipendenti, specialmente quelli che lavorano con i sistemi bancari, devono avere soluzioni di sicurezza in grado di rilevare sia le minacce note, sia quelle completamente nuove.
I nostri prodotti rilevano il Trojan bancario di RTM e anche il ransomware Quoter.
Consigli