Новости

« Назад

ESET 01.03.2017 05:07

3

 

Вирусная лаборатория ESET опубликовала отчет о деятельности кибергруппы RTM, атакующей российские организации. Для кражи средств у компаний хакеры подменяют реквизиты исходящих платежей в транспортных файлах 1С. 



Группировка RTM использует специально разработанные программы, написанные на языке программирования Delphi. Система телеметрии ESET LiveGrid® зафиксировала первые следы этих вредоносных инструментов в конце 2015 года. Функционал RTM включает перехват нажатия клавиш, чтение смарт-карт, загрузку в зараженную систему новых модулей, мониторинг процессов, связанных с банковской деятельностью. 



Злоумышленники атакуют бухгалтерские системы, взаимодействующие с решениями дистанционного банковского обслуживания (ДБО). Вредоносное ПО RTM распространяется преимущественно через взломанные сайты (drive-by download) и спам. Эти инструменты удобны для таргетированных атак, поскольку в первом случае атакующие могут выбирать площадки, посещаемые потенциальными жертвами, а во втором — отправлять письма с вредоносными вложениями напрямую нужным сотрудникам компаний.



Вредоносное ПО RTM отслеживает появление в зараженной системе транспортного файла 1c_to_kl.txt. Его формирует программа «1С: Предприятие 8» для передачи платежного поручения из бухгалтерской системы в систему ДБО. Текстовый файл содержит детали исходящих платежей. Подменив реквизиты получателя, хакеры могут перевести средства компании на свои счета. 



В 2014–2015 годах схожие методы кражи средств использовала кибергруппировка Buhtrap. Тем не менее у этих групп различаются векторы заражения — в кампаниях Buhtrap чаще использовался фишинг. В прошлом атаки на российские системы ДБО практиковала кибергруппа Corkow.



Общее число обнаружений вредоносных программ семейства RTM невелико. С другой стороны, в кампании используются сложные инструменты, что свидетельствует о высокой таргетированности атак.



По оценке экспертов ESET, снизить риск кражи средств позволяет шифрование платежных поручений, двухфакторная аутентификация, антивирусная защита корпоративной сети, обучение персонала основам информационной безопасности.


Контакты
Вы можете связаться с нами любым удобным для вас способом:
Адрес:
Республика Коми
г. Сыктывкар
ул. Первомайская 70А
офис 310
Звоните по номеру:
По любым вопросом можете оставить заявку и наши специлисты помогут Вам
;