ESET раскрывает детали кибератак на российские компании

бухгалтерские системыГруппировка RTM применяет специальные программы, написанные на языке Delphi. Система телеметрии ESET LiveGrid® зафиксировала первые следы этих вредоносных инструментов в конце 2015 года.

Функционал программного комплекса RTM включает:

  • загрузка в зараженную систему новых модулей,
  • перехват нажатия клавиш,
  • чтение смарт-карт,
  • мониторинг процессов, связанных с банковской деятельностью.

В приоритете атак – бухгалтерские системы, взаимодействующие с решениями дистанционного банковского обслуживания (ДБО). Вредоносное ПО распространяется преимущественно через взломанные сайты с загрузочным трафиком и посредством спама. Эти инструменты удобны для таргетированных атак, поскольку в первом случае атакующие могут выбирать площадки, посещаемые потенциальными жертвами, а во втором – отправлять письма с вредоносными вложениями напрямую нужным сотрудникам компаний.

Принцип работы вредонсного комплекса RTM

Вредоносное ПО RTM отслеживает появление в зараженной системе транспортного файла 1c_to_kl.txt. Его формирует программа «1С: Предприятие 8» для передачи платежного поручения из бухгалтерской системы в систему ДБО. Текстовый файл содержит детали исходящих платежей. Подменив реквизиты получателя, хакеры могут перевести средства компании на свои счета.

Схожую методику кражи средств использовала кибергруппа Buhtrap, активность которой была наибольшей в 2014-2015 гг. Тем не менее, у этих групп различаются векторы заражения – в кампаниях Buhtrap чаще использовался принцип фишинговых атак. В прошлом атаки на российские системы ДБО практиковала кибергруппа Corkow.

Общее число обнаружений вредоносных программ семейства RTM невелико. С другой стороны, в кампании используются сложные кастомные инструменты, что свидетельствует о высокой таргетированности атак.

Меры безопасности по оценке экспертов ESET

  1. снизить риск кражи средств позволяет шифрование платежных поручений,
  2. антивирусная защита корпоративной сети,
  3. двухфакторная аутентификация,
  4. обучение персонала основам информационной безопасности.
НОВОСТИ ПО ТЕМЕ

Добавить комментарий

Войти с помощью:  
Имя
E-mail

 

Комментарии к записи ESET раскрывает детали кибератак на российские компании