Ransomware Quoter ohrožuje na dopravní firmy a finanční instituce

Za útoky stojí neslavně proslulý ruskojazyčný gang RTM, který se na korporátní cíle zaměřuje již od roku 2016. Tradičně se soustředí na firmy mimo Rusko, teď ovšem poprvé v historii zaútočil ve své vlastní zemi, což naznačuje jisté změny v jeho strategii.

Poslední série útoků začala v prosinci 2020 (trvá dodnes) a útočníci žádají od každé oběti v průměru milion dolarů. Nejprve pošlou potenciální oběti phishingový e-mail. Do předmětu napíšou slova, která podle jejich názoru přimějí příjemce zprávu otevřít, např. - Žádost o vrácení nebo Kopie dokumentů z minulého měsíce. Pokud příjemce klikne na odkaz v e-mailu nebo otevře přílohu, nainstaluje si do počítače trojan od RTM.

Když útočníci proniknou do systému, pokusí se z napadené firmy vysát peníze pomocí účetních programů - změní informace o platbách, buď pomocí malwaru nebo ručně díky vzdálenému přístupu. A pokud se jim to nepovede, použijí ransomware Quoter.

Ten zašifruje odcizená data a zašle oběti zprávu, aby útočníky kontaktovala. Pokud napadený nezareaguje, útočníci mu sdělí, že ukradená data zveřejní a doplní je důkazy o jejich pravosti. Mezi prvními phishingovými e-maily a instalací ransomware uběhne několik měsíců.

Tyto incidenty svědčí o pozoruhodném trendu - útočníci využívají ransomware jen jako jeden z několika způsobů dosažení svých cílů. Používají více nástrojů najednou, třeba phishingové e-maily v kombinaci s trojanem pro internetové bankovnictví a šifrovacími programy.

Neobvyklé je, že se gang RTM zaměřil na ruské organizace - dosud pomocí ransomwaru útočil výhradně za hranicemi - neznamená to ale, že by gangsteři úplně změnili strategii - v blízké budoucnosti můžou opět zacílit na jiné země.

Společnost Kaspersky detekuje ransomware Quoter pod kódovým názvem Trojan-Ransom.Win32.Quoter.

Další informace o ransomwaru Quoter najdete na webu Kaspersky Daily.

Jak se ubránit těmto sofistikovaným útokům:

• Stanete-li se obětí útoku, nikdy neplaťte žádné výkupné - použití ransomware je trestný čin, platba výkupného nezaručí, že vám útočníci data vrátí nebo je nezveřejní, každopádně je to ale povzbudí k další trestné činnosti - místo placení nahlaste událost místním orgánům činným v trestním řízení

• Vždy je dobré mít po ruce zálohované kopie souborů, abyste jimi mohli v případě potřeby nahradit ztracená data - doporučujeme jejich ukládání do cloudu, nikoli na fyzická zařízení, je to bezpečnější, v případě potřeby se k nim musíte kdykoli a odkudkoli rychle dostat

• Pravidelně pořádejte školení zaměstnanců na téma kybernetické bezpečnosti - můžete využít třeba platformu Kaspersky Automated Security Awareness Platform - cílené útoky většinou začínají phishingem nebo jinými metodami sociálního inženýrství

• Pravidelně kontrolujte, zda si daná firma udržuje síťové segmenty izolované od jiných sítí a od internetu - k tomu ideálně slouží pravidelná bezpečnostní analýza a penetrační testy

• Omezte přístup k nástrojům vzdálené správy z externích IP adres - uživatelská rozhraní pro vzdálenou správu by měla být k dispozici jen z omezeného počtu koncových bodů

• Doporučujeme implementaci řešení EDR schopného detekovat útoky zneužívající legitimní software, například nástroje vzdáleného přístupu

Článek KASPERSKY LAB CZECH REPUBLIC ze dne 9. března 2021 - úterý

Další články od KASPERSKY LAB CZECH REPUBLIC