«Лаборатория Касперского» обнаружила серию целевых атак на российские финансовые и транспортные компании с использованием ранее неизвестного вируса-шифровальщика, говорится в сообщении компании.
«Лаборатория Касперского» зафиксировала серию целевых атак на российские финансовые и транспортные компании. С декабря 2020 года по настоящее время жертвами злоумышленников стали уже около 10 организаций. В атаках, за которыми стоит русскоговорящая группа RTM, применяется ранее неизвестная программа-шифровальщик Quoter», — уточняется в сообщении.
Поясняется, что первичное заражение происходило путём распространения фишинговых писем. Злоумышленники выбирали тему, которая должна была, по их расчётам, заставить получателя открыть письмо, например «повестка в суд», «заявка на возврат», «закрывающие документы» или «копии документов за прошлый месяц». Если жертва переходила по ссылке или открывала вложение, то на её устройство загружался троянец.
После закрепления в системе и распространения по сети злоумышленники пытались перевести деньги через бухгалтерские программы посредством подмены зловредом реквизитов в платёжных поручениях или вручную с использованием средств удалённого доступа. Если же злоумышленникам это не удавалось, то они приводили в действие Quoter.
Программа шифровала данные и оставляла контакты для связи с атакующими. Если жертва не реагировала, злоумышленники сообщали, что готовы выложить в открытый доступ украденную конфиденциальную информацию, и прикладывали доказательства. В качестве выкупа атакующие требовали в среднем около 1 миллиона долларов. Примечательно, что с момента закрепления в системе до применения шифровальщика проходило несколько месяцев.
«Инциденты, к расследованию которых мы были привлечены, представляют серьёзную угрозу для компаний, поскольку злоумышленники стремятся достичь своей цели во что бы то ни стало. Их тактика включает применение сразу нескольких инструментов: фишинговое письмо с банковским троянцем и программу-шифровальщик», — прокомментировал ведущий эксперт «Лаборатории Касперского» Сергей Голованов.
