Участник «Сколково» Group-IB, международная компания, специализирующаяся на предотвращении кибератак, зафиксировала массовую вредоносную рассылку по банкам и предприятиям: более 11 000 писем с фейковых почтовых адресов российских госучреждений.
Все они содержали троян RTM, предназначенный для кражи денег из сервисов дистанционного банковского обслуживания (ДБО) и платежных систем. В среднем одно успешное хищение такого типа приносит злоумышленникам свыше 1 млн рублей. В настоящее время вредоносные рассылки продолжаются, сообщили Sk.ru в компании.
Фото: Group-IB
Первые вредоносные рассылки этого типа зафиксированы Group-IB 11 сентября с.г. Рассылки шли волнами, пик пришелся на 24 и 27 сентября. В общей сложности с сентября до начала декабря хакеры отправили 11 073 письма с 2 900 различных электронных адресов, подделанных под госучреждения. Среди «отправителей»: региональные управления Роспотребнадзора, Россельхознадзора, Ростехнадзора, Росприроднадзора, Министерства труда и соцразвития, УФСИН, прокуратуры, судов. Фальшивые письма, были замаскированы под служебные документы, например, «Оплата август-сентябрь», «Копии документов», «Служебная записка», «Отправка на четверг». В Group-IB отмечают, что темы писем, равно как и адрес отправителя, постоянно меняются.
Каждое такое письмо содержит вредоносное вложение, представляющее собой архив с исполняемым файлом. Распакованные файлы имеют фейковые иконки PDF, что дополнительно вводит пользователя в заблуждение. После запуска извлеченного из архива файла происходит заражение компьютера. Банковский троян RTM, с 2016 года используемый одноименной хакерской группой, ориентирован на корпоративных пользователей, его цель — бухгалтерские программы для работы с системами дистанционного банковского обслуживания (ДБО).
Схема хищения классическая: RTM при помощи скриншотов и кейлоггера узнает логин и пароль пользователя, скачивает и запускает средства удалённого управления компьютером, после чего либо создаётся платёжное поручение и отправляется в систему ДБО через удаленное управление на заражённом компьютере, либо похищаются аутентификационные данные и секретный ключ, используемые в системе ДБО, а отправка поручения происходит с компьютера злоумышленника.
В целом с сентября по ноябрь хакерская группа RTM предприняла несколько масштабных атак на крупные российские банки и предприятия. Вредоносная активность была обнаружена и блокирована с помощью системы раннего предупреждения кибератак Threat Detection System Polygon (TDS), позволяющей в безопасной, изолированной от основной сети банка среде «распаковывать» подозрительные письма, проверять их на наличие вредоносных вложений и выносить вердикт о степени опасности обнаруженного объекта.
«Среди потенциальных жертв RTM — банки, до сих пор игнорирующие установку средств защиты от целевых атак хакерских групп, а также те, кто редко проверяет текущее состояние инфраструктуры на предмет обнаружения подозрительной активности внутри периметра банка», — заявил руководитель департамента сетевой безопасности Group-IB Никита Кислицин.
Эксперты компании подчеркивают, что опасность подобных атак еще и в том, что они могут быть долгоиграющими, так как зачастую финансовые учреждения не проводят качественного реагирования на произошедший инцидент, считая его единичным. Это позволяет трояну работать на своего создателя продолжительное время, в некоторых случаях до полугода, оставаясь незамеченным для банка.