18:11 22.02.2017 |
8308 просмотров
Eset опубликовала отчет о деятельности кибергруппы RTM, атакующей российские организации. Для кражи средств у компаний хакеры подменяют реквизиты исходящих платежей в транспортных файлах «1С».
Группировка RTM использует специально разработанные программы, написанные на Delphi. Система телеметрии Eset LiveGrid зафиксировала первые следы этих вредоносных инструментов в конце 2015 года. Функционал RTM включает перехват нажатия клавиш, чтение смарт-карт, загрузку в зараженную систему новых модулей, мониторинг процессов, связанных с банковской деятельностью.
В фокусе атакующих — бухгалтерские системы, взаимодействующие с решениями дистанционного банковского обслуживания. Вредоносное ПО распространяется преимущественно через взломанные сайты и спам. Эти инструменты удобны для таргетированных атак, поскольку в первом случае атакующие могут выбирать площадки, посещаемые потенциальными жертвами, а во втором — отправлять письма с вредоносными вложениями напрямую нужным сотрудникам компаний.
Вредоносы RTM отслеживают появление в зараженной системе транспортного файла 1c_to_kl.txt. Его формирует программа «1С: Предприятие 8» для передачи платежного поручения из бухгалтерской системы в систему ДБО. Текстовый файл содержит детали исходящих платежей. Подменив реквизиты получателя, хакеры могут перевести средства компании на свои счета.
Схожие методы кражи средств использовала кибергруппировка Buhtrap, активная в 2014-2015 годах. Тем не менее, у этих групп различаются векторы заражения — в кампаниях Buhtrap чаще использовался фишинг. Также в прошлом атаки на российские системы ДБО практиковала кибергруппа Corkow.
Общее число обнаружений вредоносных программ семейства RTM невелико. Но с другой стороны, в их кампаниях используются сложные кастомные инструменты, что свидетельствует о высокой таргетированности атак.
По оценке экспертов Eset, снизить риск кражи средств позволяет шифрование платежных поручений, двухфакторная аутентификация, антивирусная защита корпоративной сети, обучение персонала основам информационной безопасности.
Теги: Автоматизация предприятий
Информационная безопасность
Eset
1С
Кибератаки
На ту же тему:
Российский бизнес вышел на новый виток противостояния хакерам
По данным «Солар», российские компании в последние месяцы столкнулись с новой волной более точечных и продвинутых кибератак. Если в начале года наблюдалось небольшое снижение хакерской активности, то далее злоумышленники стали атаковать компании с новой силой и чаще применять вредоносное ПО, которое невозможно выявлять базовыми средствами обнаружения.
Атаки на веб-ресурсы стали основной причиной критических ИБ-инцидентов в первом квартале
Абсолютное большинство (77%) критических киберинцидентов в I квартале 2022 года было связано с атаками на онлайн-ресурсы российских организаций. При этом, как отметили эксперты компании «Ростелеком-Солар», в IV квартале предыдущего года критических веб-атак зафиксировано не было. Целью хакеров был скорее не взлом веб-приложений для хищения ценных данных, а дестабилизация работы сайтов.
Каждая пятая атака кибермошенников приходится на госучреждения
По данным Страхового Дома ВСК, большая часть кибератак в 2021 году пришлась на государственные учреждения – почти 20% преступлений. В 10% случаев жертвами кибермошенников становятся промышленные предприятия, по 8% атак направлены на медицинские и образовательные учреждения, а также финансовые организации.
Число атак на промышленные компании выросло на 91%
Эксперты Positive Technologies проанализировали киберугрозы 2020 года и выяснили, что по сравнению с 2019 годом количество инцидентов на промышленных предприятиях увеличилось на 91%, а число атак с использованием вредоносов увеличилось на 54%. На первом месте по количеству атак с использованием шифровальщиков оказались медицинские учреждения.