Ransomware en meer

RTM-groep valt slachtoffers aan met ransomware, een banking trojan en remote-access tools.

Onze experts hebben een nieuwe schadelijke campagne ontdekt die een behoorlijk gevarieerd aanbod aan tools omvat. Onder de tools werden een banking trojan, ransomware met de naam Quoter (dat ons systeem nog niet eerder was tegengekomen) en legitieme remote-access-programma’s (LiteManager en RMS, mogelijk meer) aangetroffen. De cybercriminelen behoren tot de RTM-groep.

Hoe de aanvallers te werk gaan

De aanval begint met standaard phishing: de aanvallers e-mailen iets wat een document lijkt te zijn, maar in werkelijkheid is dit Trojan-Banker.Win32.RTM. Om ervoor te zorgen dat ontvangers de bijlage openen, gebruiken ze e-mailheaders die de aandacht trekken bij zakelijke ontvangers. Onze experts kwamen de volgende varianten tegen:

  • Dagvaarding
  • Verzoek om terugbetaling
  • Afsluitingsdocumenten
  • Kopieën van documenten voor vorige maand

De trojan zelf is niet nieuw, want die verschijnt al sinds 2018 op consistente wijze in onze rapporten van de top 10 van banking malware-families. Als de ontvanger op de bijlage klikt en de malware installeert, worden er aanvullende hacking tools op de computer gedownload.

Vervolgens gaan de cybercriminelen in het netwerk op zoek naar computers van medewerkers van de afdeling accounting en proberen ze systemen voor online bankieren te manipuleren door de juiste gegevens te vervangen door hun eigen bankrekeningen. Deze aanpak is niet nieuw voor RTM. Het is interessant om te zien dat de bende als back-up-plan Quoter (een andere trojan, gedetecteerd als Trojan-Ransom.Win32.Quoter) lanceerde, die we zo genoemd hebben omdat het filmcitaten invoegt in de code van de bestanden die worden versleuteld.

Zoals gebruikelijk is bij de meeste moderne ransomware-aanvallers, hevelt RTM ook informatie over naar hun eigen systemen om later te dreigen deze openbaar te maken als het losgeld niet is betaald.

De doelwitten

Tot dusver zijn onze experts op de hoogte van ongeveer een dozijn slachtoffers, allemaal in Rusland en allemaal actief in de transport- of financiële sector. Het aantal slachtoffers ligt waarschijnlijk hoger; de periode tussen de initiële infectie en de activering van de ransomware, het moment waarop de aanval duidelijk wordt, kan meerdere maanden duren. Gedurende die periode verkennen de aanvallers de netwerken van het slachtoffer om op zoek te gaan naar computers met systemen voor online bankieren.

Het kan zijn dat er vergelijkbare aanvallen op bedrijven die actief zijn in andere regio’s volgen (Quoter voegt Engelse citaten in, en dat hoeft niets te betekenen, maar het kan erop wijzen dat ze internationale ambities hebben). Voor een wat technischer overzicht van de nieuwe campagne, inclusief fragmenten van de schadelijke code en IOC’s, kunt u de post van Securelist bekijken.

Hoe u zich tegen dit soort cyberdreigingen beschermt

Zoals altijd begint effectieve bescherming met bewustwording onder werknemers: dit soort aanvallen begint meestal met phishing-e-mails. Collega’s die op de hoogte zijn van de gevaren en veelgebruikte trucs zullen minder snel happen en het bedrijf in gevaar brengen. U kunt op afstand trainingen organiseren met gebruik van een gespecialiseerd  online platform.

Voor tijdige detectie van laterale activiteiten van indringers door het bedrijfsnetwerk en het gebruik van legitieme tools voor schadelijke doeleinden kunt u geavanceerde tools inzetten om complexe dreigingen te identificeren.

Daarnaast moeten er op alle werknemerscomputers, zeker de computers waarop wordt gewerkt met banksystemen, beveiligingsoplossingen worden geïnstalleerd die zowel bekende als volledig nieuwe dreigingen kunnen detecteren.

Onze producten detecteren zowel de banking trojan van RTM als de Quoter-ransomware.

Tips