Eset раскрыл детали кибератак на российские компании

22 фев 2017 15:05 #53251 от ICT
Вирусная лаборатория Eset опубликовала отчет о деятельности кибергруппы RTM, атакующей российские организации. Как рассказали CNews в компании, для кражи средств у компаний хакеры подменяют реквизиты исходящих платежей в транспортных файлах 1С. Группировка RTM использует специально разработанные программы, написанные на языке программирования Delphi. Система телеметрии Eset LiveGrid зафиксировала первые следы этих вредоносных инструментов в конце 2015 г. Функционал RTM включает перехват нажатия клавиш, чтение смарт-карт, загрузку в зараженную систему новых модулей, мониторинг процессов, связанных с банковской деятельностью. В фокусе атакующих – бухгалтерские системы, взаимодействующие с решениями дистанционного банковского обслуживания (ДБО). Вредоносное ПО RTM распространяется преимущественно через взломанные сайты (drive-by download) и спам. Эти инструменты удобны для таргетированных атак, поскольку в первом случае атакующие могут выбирать площадки, посещаемые потенциальными жертвами, а во втором – отправлять письма с вредоносными вложениями напрямую нужным сотрудникам компаний. Вредоносное ПО RTM отслеживает появление в зараженной системе транспортного файла 1c_to_kl.txt. Его формирует программа «1С: Предприятие 8» для передачи платежного поручения из бухгалтерской системы в систему ДБО. Текстовый файл содержит детали исходящих платежей. Подменив реквизиты получателя, хакеры могут перевести средства компании на свои счета. Схожие методы кражи средств использовала кибергруппировка Buhtrap, активная в 2014-2015 гг. Тем не менее, у этих групп различаются векторы заражения – в кампаниях Buhtrap чаще использовался фишинг. В прошлом атаки на российские системы ДБО практиковала кибергруппа Corkow. Общее число обнаружений вредоносных программ семейства RTM невелико. С другой стороны, в кампании используются сложные кастомные инструменты, что свидетельствует о высокой таргетированности атак. По оценке экспертов Eset, снизить риск кражи средств позволяет шифрование платежных поручений, двухфакторная аутентификация, антивирусная защита корпоративной сети, обучение персонала основам информационной безопасности. Более подробная информация о киберкампании RTM, включая индикаторы заражения, представлена в отчете Eset . Ссылка на источник


  • Сообщений: 103417

  • Пол: Не указан
  • Дата рождения: Неизвестно
  • Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

    Похожие статьи

    ТемаРелевантностьДата
    Eset раскрыл детали кибершпионской операции20.89Среда, 25 июля 2018
    ESET раскрывает детали политических кибератак на Ближнем Востоке19.81Вторник, 17 сентября 2019
    Российские компании за год потеряли 116 млрд рублей из-за кибератак15.37Среда, 20 декабря 2017
    GS Group раскрыл детали контент-стратегии спутникового ТВ в Бангладеш14.99Пятница, 03 июня 2016
    GS Group раскрыл детали контент-стратегии DTH-платформы RealVU в Бангладеш14.83Пятница, 03 июня 2016
    Аналитики Solar JSOC зафиксировали почти двукратный рост числа кибератак на российские компании14.59Среда, 24 апреля 2019
    GS Group раскрыл детали контент-стратегии первого спутникового ТВ-оператора RealVU в Бангладеш14.52Пятница, 03 июня 2016
    Eset зафиксировала атаку программы-вымогателя Shade на российские компании13.91Среда, 13 февраля 2019
    В компании ESET назвали причину эффективности хакерских атак на российские банки13.76Вторник, 13 декабря 2016
    Eset зафиксировала 15 млн кибератак на пользователей торрентов12.34Пятница, 18 августа 2017

    Мы в соц. сетях