18:11 22.02.2017 |
6705 просмотров
Eset опубликовала отчет о деятельности кибергруппы RTM, атакующей российские организации. Для кражи средств у компаний хакеры подменяют реквизиты исходящих платежей в транспортных файлах «1С».
Группировка RTM использует специально разработанные программы, написанные на Delphi. Система телеметрии Eset LiveGrid зафиксировала первые следы этих вредоносных инструментов в конце 2015 года. Функционал RTM включает перехват нажатия клавиш, чтение смарт-карт, загрузку в зараженную систему новых модулей, мониторинг процессов, связанных с банковской деятельностью.
В фокусе атакующих — бухгалтерские системы, взаимодействующие с решениями дистанционного банковского обслуживания. Вредоносное ПО распространяется преимущественно через взломанные сайты и спам. Эти инструменты удобны для таргетированных атак, поскольку в первом случае атакующие могут выбирать площадки, посещаемые потенциальными жертвами, а во втором — отправлять письма с вредоносными вложениями напрямую нужным сотрудникам компаний.
Вредоносы RTM отслеживают появление в зараженной системе транспортного файла 1c_to_kl.txt. Его формирует программа «1С: Предприятие 8» для передачи платежного поручения из бухгалтерской системы в систему ДБО. Текстовый файл содержит детали исходящих платежей. Подменив реквизиты получателя, хакеры могут перевести средства компании на свои счета.
Схожие методы кражи средств использовала кибергруппировка Buhtrap, активная в 2014-2015 годах. Тем не менее, у этих групп различаются векторы заражения — в кампаниях Buhtrap чаще использовался фишинг. Также в прошлом атаки на российские системы ДБО практиковала кибергруппа Corkow.
Общее число обнаружений вредоносных программ семейства RTM невелико. Но с другой стороны, в их кампаниях используются сложные кастомные инструменты, что свидетельствует о высокой таргетированности атак.
По оценке экспертов Eset, снизить риск кражи средств позволяет шифрование платежных поручений, двухфакторная аутентификация, антивирусная защита корпоративной сети, обучение персонала основам информационной безопасности.
Теги: Автоматизация предприятий
Информационная безопасность
Eset
1С
Кибератаки
RTM, 1С:Предприятие, кибератаки, ESET
На ту же тему:
Атаки на веб-ресурсы стали основной причиной критических ИБ-инцидентов в первом квартале
Абсолютное большинство (77%) критических киберинцидентов в I квартале 2022 года было связано с атаками на онлайн-ресурсы российских организаций. При этом, как отметили эксперты компании «Ростелеком-Солар», в IV квартале предыдущего года критических веб-атак зафиксировано не было. Целью хакеров был скорее не взлом веб-приложений для хищения ценных данных, а дестабилизация работы сайтов.
Каждая пятая атака кибермошенников приходится на госучреждения
По данным Страхового Дома ВСК, большая часть кибератак в 2021 году пришлась на государственные учреждения – почти 20% преступлений. В 10% случаев жертвами кибермошенников становятся промышленные предприятия, по 8% атак направлены на медицинские и образовательные учреждения, а также финансовые организации.
Число атак на промышленные компании выросло на 91%
Эксперты Positive Technologies проанализировали киберугрозы 2020 года и выяснили, что по сравнению с 2019 годом количество инцидентов на промышленных предприятиях увеличилось на 91%, а число атак с использованием вредоносов увеличилось на 54%. На первом месте по количеству атак с использованием шифровальщиков оказались медицинские учреждения.
Positive Technologies: действия хакеров сложно отличить от поведения пользователей
Эксперты Positive Technologies представили результаты работ по внутреннему тестированию на проникновение. Анализ показал, что почти половина всех действий преступников может не отличаться от обычной деятельности пользователей и администраторов, а в большинстве компаний контроль над инфраструктурой может получить даже низкоквалифицированный хакер.