Ransomware Quoter ohrožuje na dopravní firmy a finanční instituce

Za útoky stojí neslavně proslulý ruskojazyčný gang RTM, který se na korporátní cíle zaměřuje již od roku 2016. Tradičně se soustředí na firmy mimo Rusko, teď ovšem poprvé v historii zaútočil ve své vlastní zemi, což naznačuje jisté změny v jeho strategii.

Poslední série útoků začala v prosinci 2020 (trvá dodnes) a útočníci žádají od každé oběti v průměru milion dolarů. Nejprve pošlou potenciální oběti phishingový e-mail. Do předmětu napíšou slova, která podle jejich názoru přimějí příjemce zprávu otevřít, např. - Žádost o vrácení nebo Kopie dokumentů z minulého měsíce. Pokud příjemce klikne na odkaz v e-mailu nebo otevře přílohu, nainstaluje si do počítače trojan od RTM.

Když útočníci proniknou do systému, pokusí se z napadené firmy vysát peníze pomocí účetních programů - změní informace o platbách, buď pomocí malwaru nebo ručně díky vzdálenému přístupu. A pokud se jim to nepovede, použijí ransomware Quoter.

Ten zašifruje odcizená data a zašle oběti zprávu, aby útočníky kontaktovala. Pokud napadený nezareaguje, útočníci mu sdělí, že ukradená data zveřejní a doplní je důkazy o jejich pravosti. Mezi prvními phishingovými e-maily a instalací ransomware uběhne několik měsíců.

Tyto incidenty svědčí o pozoruhodném trendu - útočníci využívají ransomware jen jako jeden z několika způsobů dosažení svých cílů. Používají více nástrojů najednou, třeba phishingové e-maily v kombinaci s trojanem pro internetové bankovnictví a šifrovacími programy.

Neobvyklé je, že se gang RTM zaměřil na ruské organizace - dosud pomocí ransomwaru útočil výhradně za hranicemi - neznamená to ale, že by gangsteři úplně změnili strategii - v blízké budoucnosti můžou opět zacílit na jiné země.

Společnost Kaspersky detekuje ransomware Quoter pod kódovým názvem Trojan-Ransom.Win32.Quoter.

Další informace o ransomwaru Quoter najdete na webu Kaspersky Daily.

Jak se ubránit těmto sofistikovaným útokům:

• Stanete-li se obětí útoku, nikdy neplaťte žádné výkupné - použití ransomware je trestný čin, platba výkupného nezaručí, že vám útočníci data vrátí nebo je nezveřejní, každopádně je to ale povzbudí k další trestné činnosti - místo placení nahlaste událost místním orgánům činným v trestním řízení

• Vždy je dobré mít po ruce zálohované kopie souborů, abyste jimi mohli v případě potřeby nahradit ztracená data - doporučujeme jejich ukládání do cloudu, nikoli na fyzická zařízení, je to bezpečnější, v případě potřeby se k nim musíte kdykoli a odkudkoli rychle dostat

• Pravidelně pořádejte školení zaměstnanců na téma kybernetické bezpečnosti - můžete využít třeba platformu Kaspersky Automated Security Awareness Platform - cílené útoky většinou začínají phishingem nebo jinými metodami sociálního inženýrství

• Pravidelně kontrolujte, zda si daná firma udržuje síťové segmenty izolované od jiných sítí a od internetu - k tomu ideálně slouží pravidelná bezpečnostní analýza a penetrační testy

• Omezte přístup k nástrojům vzdálené správy z externích IP adres - uživatelská rozhraní pro vzdálenou správu by měla být k dispozici jen z omezeného počtu koncových bodů

• Doporučujeme implementaci řešení EDR schopného detekovat útoky zneužívající legitimní software, například nástroje vzdáleného přístupu

Článek KASPERSKY LAB CZECH REPUBLIC ze dne úterý 9. března 2021

Další články od KASPERSKY LAB CZECH REPUBLIC