Kybergang RTM útočí na finanční instituce a dopravní firmy pomocí nového ransomwaru Quoter

Sérii cílených útoků na finanční instituce a dopravní firmy pomocí nového ransomwaru s názvem Quoter registruje od prosince 2020 bezpečnostní společnost Kaspersky. Za útoky stojí neslavně proslulý ruskojazyčný gang RTM, který se na korporátní cíle zaměřuje už od roku 2016. Útočníci žádají od každé oběti v průměru milion dolarů. Nový ransomware je první nástroj, který tato skupina používá už nějakou dobu. Kybergang RTM se tradičně soustředí na firmy mimo Rusko, teď ovšem poprvé v historii zaútočil ve své vlastní zemi. To naznačuje jisté změny ve strategii gangu.

Poslední série útoků, víceméně kopírující běžný modus operandi RTM, začala v prosinci 2020 a trvá dodnes. Nejprve útočníci pošlou potenciální oběti phishingový e-mail. Do předmětu napíšou slova, která podle jejich názoru přimějí příjemce zprávu otevřít, například Žádost o vrácení nebo Kopie dokumentů z minulého měsíce. Pokud příjemce klikne na odkaz v e-mailu nebo otevře přílohu, nainstaluje si do počítače trojan od RTM.

Když útočníci proniknou do systému, pokusí se z napadené firmy vysát peníze pomocí účetních programů – změní informace o platbách, buď pomocí malwaru nebo ručně díky vzdálenému přístupu. A pokud se jim to nepovede, použijí ransomware Quoter. Ten zašifruje odcizená data a zašle oběti zprávu, aby útočníky kontaktovala. Pokud napadený nezareaguje, útočníci mu sdělí, že ukradená data zveřejní a doplní je důkazy o jejich pravosti. Mezi prvními phishingovými e-maily a instalací ransomware uběhne několik měsíců.

"Tyto incidenty svědčí o pozoruhodném trendu – útočníci využívají ransomware jen jako jeden z několika způsobů dosažení svých cílů. Používají více nástrojů najednou, třeba phishingové e-maily v kombinaci s trojanem pro internetové bankovnictví a šifrovacími programy," komentuje Sergej Golovanov, vedoucí bezpečnostního výzkumu společnosti Kaspersky.

"Neobvyklé je, že se gang RTM zaměřil na ruské organizace – dosud pomocí ransomwaru útočil výhradně za hranicemi. Neznamená to ale, že by gangsteři úplně změnili strategii – v blízké budoucnosti můžou opět zacílit na jiné země," dodává Golovanov.

Společnost Kaspersky detekuje ransomware Quoter pod kódovým názvem Trojan-Ransom.Win32.Quoter.

Chcete-li bránit těmto sofistikovaným útokům, společnost Kaspersky vám doporučuje následující postup.

• Pravidelně pořádejte školení zaměstnanců na téma kybernetické bezpečnosti – můžete využít třeba platformu Kaspersky Automated Security Awareness Platform. Cílené útoky většinou začínají phishingem nebo jinými metodami sociálního inženýrství.
• Vždy je dobré mít po ruce zálohované kopie souborů, abyste jimi mohli v případě potřeby nahradit ztracená data. Doporučujeme její ukládání do cloudu, nikoli na fyzická zařízení, je to bezpečnější. V případě potřeby se k nim můžete kdykoli a odkudkoli rychle dostat.
• Pravidelně kontrolujte, zda si daná firma udržuje síťové segmenty izolované od jiných sítí a od internetu. K tomu ideálně slouží pravidelná bezpečnostní analýza a penetrační testy.
• Omezte přístup k nástrojům vzdálené správy z externích IP adres. Uživatelská rozhraní pro vzdálenou správu by měla být k dispozici jen z omezeného počtu koncových bodů.
• Doporučujeme implementaci řešení EDR schopného detekovat útoky zneužívající legitimní software, například nástroje vzdáleného přístupu.
• Stanete-li se obětí útoku, nikdy neplaťte žádné výkupné. Použití ransomware je trestný čin. Platba výkupného nezaručí, že vám útočníci data vrátí nebo je nezveřejní – každopádně je to ale povzbudí k další trestné činnosti. Místo placení nahlaste událost místním orgánům činným v trestním řízení.