Хакеры атаковали финансовые и транспортные компании РФ с помощью неизвестного шифровальщика

«Лаборатория Касперского» зафиксировала серию целевых атак на российские финансовые и транспортные компании. С декабря 2020 года по настоящее время жертвами злоумышленников стали уже около 10 организаций. В атаках, за которыми стоит русскоговорящая группа RTM, применяется ранее неизвестная программа-шифровальщик Quoter, говорится в сообщении компании.

Первичное заражение происходило путем распространения фишинговых писем. Судя по всему, полагают эксперты, злоумышленники выбирали тему, которая должна была, по их расчетам, заставить получателя открыть письмо, например «Повестка в суд», «Заявка на возврат», «Закрывающие документы» или «Копии документов за прошлый месяц». Если жертва переходила по ссылке или открывала вложение, то на ее устройство загружался троянец RTM.

После закрепления в системе и распространения по сети злоумышленники пытались перевести деньги через бухгалтерские программы посредством подмены зловредом реквизитов в платежных поручениях или вручную с использованием средств удаленного доступа. Если же злоумышленникам это не удавалось, то они приводили в действие Quoter. Программа шифровала данные с помощью криптографического алгоритма AES и оставляла контакты для связи с атакующими. Если жертва не реагировала, злоумышленники сообщали, что готовы выложить в открытый доступ украденную конфиденциальную информацию, и прикладывали доказательства. В качестве выкупа атакующие требовали в среднем около миллиона долларов. Примечательно, что с момента закрепления в системе до применения шифровальщика проходило несколько месяцев.