Společnost Kaspersky upozorňuje, že od prosince 2020 registruje sérii cílených útoků na finanční instituce a dopravní firmy pomocí nového ransomwaru s názvem Quoter. Za útoky má stát neslavně proslulý ruskojazyčný gang RTM.
Kyberbezpečnostní odborníci popisují, že poslední série útoků, víceméně kopírující běžný modus operandi RTM, začala v prosinci 2020 a trvá dodnes. Nejprve útočníci pošlou potenciální oběti phishingový e-mail.
Do předmětu napíšou slova, která podle jejich názoru přimějí příjemce zprávu otevřít, například Žádost o vrácení nebo Kopie dokumentů z minulého měsíce. Pokud příjemce klikne na odkaz v e-mailu nebo otevře přílohu, nainstaluje si do počítače trojan od RTM.
Když útočníci proniknou do systému, pokusí se z napadené firmy vysát peníze pomocí účetních programů – změní informace o platbách, buď pomocí malwaru nebo ručně díky vzdálenému přístupu. A pokud se jim to nepovede, použijí ransomware Quoter.
Ten zašifruje odcizená data a zašle oběti zprávu, aby útočníky kontaktovala. Pokud napadený nezareaguje, útočníci mu sdělí, že ukradená data zveřejní a doplní je důkazy o jejich pravosti. Mezi prvními phishingovými e-maily a instalací ransomware uběhne několik měsíců.
„Tyto incidenty svědčí o pozoruhodném trendu – útočníci využívají ransomware jen jako jeden z několika způsobů dosažení svých cílů. Používají více nástrojů najednou, třeba phishingové e-maily v kombinaci s trojanem pro internetové bankovnictví a šifrovacími programy,“ komentuje Sergej Golovanov z firmy Kaspersky.
Zdroj: Kaspersky