Fidye yazılımları ve saldırılar

RTM grubu kurbanlara fidye yazılımı, bankacılık Truva Atı ve uzaktan erişim araçlarıyla saldırıyor.

Uzmanlarımız, oldukça geniş bir dizi araç içeren yeni bir kötü amaçlı saldırı tespit ettiler. Araçlar arasında bir bankacılık Truva Atı, Quoter adlı fidye yazılımı (sistemlerimizin daha önce karşılaşmadığı yeni bir yazılım) ve yasal uzaktan erişim programları (LiteManager ve RMS, muhtemelen benzerleri de dahil) bulunuyor. Saldırıların sorumlusu olan siber suçlular, RTM grubuyla ilişkilendiriliyor.

Saldırganlar nasıl çalışıyor?

Saldırı standart kimlik avıyla başlıyor: Saldırganlar bir belge gibi görünen ama aslında Trojan-Banker.Win32.RTM isimli Turva atını içeren bir eki, e-posta ile kurbana gönderiyor. Alıcıların eki açmasını sağlamak için kurumsal alıcıları hedefleyen dikkat çekici e-posta başlıkları kullanıyorlar. Uzmanlarımız aşağıdaki örneklerle karşılaştı:

  • Mahkeme celbi,
  • İade talebi,
  • Kapanış belgeleri
  • Geçen aya ait belgelerin kopyaları

Truva atının kendisi yeni değil, 2018’den bu yana bilinen en yaygın 10 kötü amaçlı bankacılık yazılım ailesi raporlarımızda sürekli olarak yer alıyor. Alıcı ekteki dosyaya tıklayıp kötü amaçlı yazılımı yüklerse, bilgisayara kötü amaçlı ek yazılımlar da inmeye başlıyor.

Bu adımdan sonra siber suçlular, muhasebe çalışanlarının bilgisayarlarını bulmak için ağda arama yapıyor ve kendi hazırladıkları bankacılık bilgilerini doğru olanlarla değiştirerek uzaktan bankacılık sistemini manipüle etmeye çalışıyorlar. Bu davranış, RTM için yeni değil. İlginç bir şekilde, çete, bir yedekleme planı olarak Quoter’ı (Trojan-Ransom.Win32.Quoter olarak algılanan başka bir Truva atı) yayınladı. Bu yazılımı bu isimle anmamızın sebebi, şifrelediği dosyaların koduna filmlerden alınan bazı cümleleri eklemesi.

Modern fidye yazılımı operatörlerinin genellikle yaptığı gibi, RTM de bilgileri çekiyor ve daha sonra fidyenin ödenmesi gecikirse bunları yayınlamakla tehdit ediyorlar.

Hedefler

Uzmanlarımız şimdiye dek, hepsi Rusya’da bulunan, ulaşım veya finansal hizmetler alanlarında faaliyet gösteren yaklaşık bir düzine kurban olduğunu tespit etti. Ancak, kurban sayısının daha da artması kaçınılmaz gözüküyor. Saldırının yaşandığı, virüsün ilk bulaşma tarihi ile fidye yazılımının etkinleştirilmesi arasındaki süre birkaç ay olabiliyor. Bu süre zarfında saldırganlar, kurbanların ağlarını keşfederek uzaktan bankacılık sistemlerine erişime sahip olan bilgisayarları arıyorlar.

Diğer bölgelerde faaliyet gösteren şirketlere yönelik benzer saldırılar da olabilir (Quoter İngilizce alıntılar da kullanıyor, bu kesin bir gösterge olmasa da, çetenin global kurumları hedeflediği şeklinde yorumlanabilir). Zararlı kod ve IOCs snippet’leri de dahil olmak üzere, bu olaya dair biraz daha teknik bir bakış için Securelist yayınını inceleyebilirsiniz.

Bu tür siber tehditlere karşı koruma

Her zamanki gibi etkili koruma, çalışanların eğitimiyle başlıyor: Bu tür saldırıların çoğu kimlik avı e-postalarıyla tetiklenir. Tehlikenin ve standart davetsiz misafir numaralarının farkında olan iş arkadaşlarınızın bu tür tuzaklara düşmesi ve şirketinizi tehlikeye atması olasılığı daha düşüktür. Bu konuya odaklanan özel bir online platformu kullanarak uzaktan bir eğitim organize edebilirsiniz.

Kurumsal ağlar üzerinden yayılan davetsiz misafirlerin tüm hareketlerini zamanında tespit etmek ve meşru araçların kötü amaçlar için kullanılmasını engellemek üzere karmaşık tehditleri belirleyecek gelişmiş araçlar devreye alın.

Ayrıca tüm çalışan bilgisayarlarının, özellikle bankacılık sistemleriyle çalışanların, hem bilinen hem de tamamen yeni tüm tehditleri tespit edebilecek güvenlik çözümlerine sahip olmaları gerekir.

Ürünlerimiz hem RTM bankacılık Truva atını, hem de Quoter fidye yazılımını algılar.

İpuçları