Group-IB, международная компания, специализирующаяся на предотвращении кибератак, зафиксировала массовую вредоносную рассылку по финансовым учреждениям и предприятиям. Злоумышленники отправили более 11 000 писем с фейковых почтовых адресов российских госучреждений — все они содержали троян RTM, предназначенный для кражи денег из сервисов дистанционного банковского обслуживания (ДБО) и платежных систем. В среднем, одно успешное хищение такого типа приносит злоумышленникам около 1,1 млн рублей. В настоящее время вредоносные рассылки продолжаются.
Начиная с 11 сентября система Group-IB Threat Intelligence (киберразведка) фиксировала массовые рассылки по российским банкам, промышленным и транспортным компаниям: 3210 писем было отправлено в сентябре, 2311 — в октябре, в 4768 — в ноябре и 784 — в декабре. Рассылки шли «волнами», пик пришелся на 24 и 27 сентября — 729 и 620 писем соответственно. В общей сложности с сентября до начала декабря хакеры отправили 11 073 письма с 2 900 различных электронных адресов, подделанных под госучреждения. Среди «отправителей»: региональные управления Роспотребнадзора, Россельхознадзора, Ростехнадзора, Росприроднадзора, Министерства труда и соцразвития, УФСИН, прокуратуры, судов и другие. Фальшивые письма, не имеющие к деятельности реальных государственных и муниципальных организаций никакого отношения, были замаскированы под служебные документы, например, «Оплата август-сентябрь», «Копии документов», «Служебная записка», «Отправка на четверг», и др. В Group-IB подчеркивают, что темы писем, равно как и адрес отправителя, постоянно меняются.
Каждое такое письмо содержит вредоносное вложение, представляющее собой архив с исполняемым файлом. Распакованные файлы имеют фейковые иконки «PDF», что дополнительно вводит пользователя в заблуждение. После запуска извлеченного из архива файла происходит заражение компьютера. Банковский троян RTM с 2016 года стоящий «на вооружении» у одноименной хакерской группы, ориентирован на корпоративных пользователей, его цель — бухгалтерские программы для работы с системами дистанционного банковского обслуживания (ДБО).
Троян имеет классическую «модульную» структуру, в которой каждый элемент «отвечает» за отдельные функции, этапы заражения, хищения и вывода денег. Так, модули трояна собирают информацию о компьютере, об установленных банковских и бухгалтерских приложениях, считывают нажатия клавиатуры, делают снимки экрана, подменяют платёжные реквизиты, записи базы доменных имён и сертификаты безопасности.
Схема хищения классическая: RTM при помощи скриншотов и кейлоггера узнает логин и пароль пользователя, скачивает и запускает средства удалённого управления компьютером, после чего либо создаётся платёжное поручение и отправляется в систему ДБО через удаленное управление на заражённом компьютере, либо похищаются аутентификационные данные и секретный ключ, используемые в системе ДБО, а отправка поручения происходит с компьютера злоумышленника. По данным Group-IB, в случае успешного хищения, в среднем, хакеры «зарабатывают» на таких атаках около 1 100 000 рублей с одного юрлица.
В целом, за осень — с сентября по ноябрь — преступная группа RTM предприняла несколько масштабных атак на крупные российские банки и предприятия. Вредоносная активность была обнаружена и блокирована с помощью системы раннего предупреждения кибератак Threat Detection System Polygon (TDS), позволяющей в безопасной, изолированной от основной сети банка среде «распаковывать» подозрительные письма, проверять их на наличие вредоносных вложений и выносить вердикт о степени опасности обнаруженного объекта.
«Среди потенциальных жертв RTM — банки, до сих пор игнорирующие установку средств защиты от целевых атак хакерских групп, а также те, кто редко проверяет текущее состояние инфраструктуры на предмет обнаружения подозрительной активности внутри периметра банка, — прокомментировал Никита Кислицин, руководитель Департамента сетевой безопасности Group-IB. — Ключевую роль в выявлении угроз, относящихся к категории „нулевого дня“ играют продукты класса Anti-APT, позволяющие проводить многосторонний анализ вредоносных файлов в „песочнице“. Причем, используемое в компании решение должно учитывать специфику угроз, характерных для страны-источника. В данном случае, речь идет о трояне RTM, принадлежащей одноименной русскоязычной хакерской группе, которая использует его уже долгие годы для организации таргетированных атак на различные организации и банки».
Эксперты компании также подчеркнули, что опасность подобных атак еще и в том, что они могут быть «долгоиграющими», так как зачастую финансовые учреждения не проводят качественного реагирования на произошедший инцидент, считая его единичным. Это позволяет трояну «работать» на своего создателя продолжительное время. Случалось, что вредоносная программа эксплуатировалась злоумышленниками до полугода, оставаясь незамеченной для банка.