I nostri esperti hanno rilevato una nuova campagna dannosa che coinvolge una gamma abbastanza ampia di tool, tra cui un Trojan bancario, un ransomware chiamato Quoter (che i nostri sistemi non avevano riscontrato in precedenza) e alcuni programmi legittimi di accesso remoto (LiteManager e RMS, forse altri). I criminali informatici sono associati al gruppo RTM.<\/p>\n
L\u2019attacco inizia con il phishing standard: i criminali informatici inviano via e-mail quello che sembra essere un documento, ma \u00e8 in realt\u00e0 il Trojan-Banker.Win32.RTM. Per indurre i destinatari ad aprire l\u2019allegato, vengono utilizzate delle intestazioni e-mail che attirano l\u2019attenzione di destinatari aziendali. I nostri esperti si sono imbattuti nelle seguenti varianti:<\/p>\n
Il Trojan in s\u00e9 non \u00e8 nuovo, lo troviamo costantemente nei nostri report delle 10 migliori generazioni di malware bancari fin dal 2018<\/a>. Se il destinatario clicca sull\u2019allegato e installa il malware, quest\u2019ultimo scarica sul computer \u00a1strumenti aggiuntivi di hacking.<\/p>\n Successivamente, i criminali informatici cercano nella rete i computer dei dipendenti della contabilit\u00e0 e provano a manipolare il sistema bancario da remoto sostituendo le informazioni bancarie dell\u2019azienda con le proprie. Una tattica gi\u00e0 vista da parte del gruppo RTM. \u00c8 interessante notare che, come piano di riserva, il gruppo ha lanciato Quoter (un altro Trojan, rilevato come Trojan-Ransom.Win32.Quoter), che abbiamo chiamato cos\u00ec perch\u00e9 inserisce citazioni cinematografiche nel codice dei file che cifra.<\/p>\n Come accade di solito tra i creatori moderni di ransomware, il gruppo RTM si appropria anche di alcune informazioni e poi minaccia di pubblicarle se il riscatto non viene pagato in tempo.<\/p>\n Finora i nostri esperti sono a conoscenza di circa una decina di vittime, tutte operanti in Russia nel settore dei trasporti o dei servizi finanziari. Tuttavia, il numero delle vittime \u00e8 destinato a essere pi\u00f9 alto; il periodo tra l\u2019infezione iniziale e l\u2019attivazione del ransomware, quando l\u2019attacco diventa evidente, pu\u00f2 durare diversi mesi. Durante questo periodo, i cybercriminali esplorano le reti delle vittime, alla ricerca di computer con sistemi bancari da remoto.<\/p>\n Attacchi simili potrebbero verificarsi prossimamente, rivolti ad aziende che operano in altre regioni (Quoter inserisce citazioni in inglese, il che non significa necessariamente qualcosa, ma fa pensare a una visione internazionale da parte del gruppo). Per maggiori dettagli tecnici sulla nuova campagna, compresi frammenti di codice dannoso e gli indicatori di compromissione, potete dare un\u2019occhiata al nostro post <\/a>su Securelist.<\/p>\n Come al solito, una protezione efficace parte da una formazione adeguata dei dipendenti: sappiamo, infatti, che la maggior parte degli attacchi di questo tipo inizia con delle e-mail di phishing. Il personale consapevole del pericolo e dei trucchi standard dei criminali informatici \u00e8 meno propenso ad abboccare all\u2019amo e a mettere in pericolo l\u2019azienda. \u00c8 possibile organizzare la formazione da remoto utilizzando una piattaforma online<\/a> specializzata.<\/p>\n Per il rilevamento tempestivo del movimento laterale dei cybercriminali lungo la rete aziendale e l\u2019uso di tool legittimi per scopi dannosi, implementate tool avanzati per identificare minacce complesse<\/a>.<\/p>\n Inoltre, tutti i computer dei dipendenti, specialmente quelli che lavorano con i sistemi bancari, devono avere soluzioni di sicurezza in grado di rilevare sia le minacce note, sia quelle completamente nuove.<\/p>\nI bersagli<\/h2>\n
Come proteggersi da questo tipo di minacce<\/h2>\n