新型惡意活動:勒索軟體捆綁

新型惡意活動:勒索軟體捆綁

卡巴斯基的專家檢測到一個新的惡意活動,其中涉及大量工具。 這些工具包括銀行木馬病毒、Quoter 勒索軟體(我們系統以前沒有遇到過這種勒索軟體)以及合法的遠端訪問程式(LiteManager和 RMS,可能還有其他程式)。 網路罪犯在與 RTM 團夥互相勾結。

攻擊者如何進行攻擊

攻擊從標準網路釣魚開始:攻擊者發送看似檔的電子郵件,實則為惡意軟體 Trojan-Banker.Win32.RTM。 為了讓收件者打開附件,他們使用針對公司收件者的迷惑性郵件標題。 我們的專家發現了以下幾種標題:

  • 傳票
  • 退款請求
  • 最終檔
  • 上個月的檔案副本

該木馬病毒本身並不陌生,從 2018 年開始就一直被我們列為前十大銀行惡意軟體系列之一。 如果收件者點擊附件並安裝該軟體,計算機中將會下載其他駭客工具。 然後,網路罪犯會在網路上搜索會計員工的電腦,用自己的銀行資訊替換正確的銀行資訊,從而操縱遠端交易系統。 這種行為對於 RTM 團夥來說並不新鮮。 有趣的是,該團夥還啟動了備份計劃,投放 Quoter 勒索軟體(另一種木馬病毒,檢測到的名稱為 Trojan-Ransom.Win32.Quoter),我們之所以這樣命名,是因為該勒索軟體將電影臺詞插入到了加密檔的代碼中。 按照現代勒索軟體的慣例,RTM 團夥還會竊取資訊,如果不交贖金,就威脅稱要在網際網路上發佈洩漏資訊。

攻擊目標

到目前為止,我們專家瞭解到有十幾名受害者,他們都在俄羅斯境內工作,從事交通運輸或金融服務行業。 但是,潛在受害者人數可能更多;從最初的感染到勒索軟體啟動(攻擊明顯)長達幾個月的時間。 在此期間,攻擊者會流覽受害者的網路,搜索有遠端銀行系統的計算機。 接下來,可能還會對其他地區的公司展開類似攻擊(Quoter 勒索軟體插入了英語臺詞,不一定有什麼含義,但或許隱喻該團伙目標放眼全世界)。

防範此類網路威脅

像往常一樣,有效的保護始於對員工的教育:大多數此類攻擊都是從網路釣魚電子郵件開始的。 在瞭解了危險和標準入侵者技巧之後,就不太可能會上圈套,以至於危及到公司的安全。 您可以使用專門的在線平臺遠端組織培訓。 為了及時檢測到入侵者通過公司網路進行的橫向活動,還有利用合法工具進行的惡意攻擊,請部署高級工具以識別複雜的威脅。 此外,所有員工電腦,特別是使用銀行系統的員工的電腦,都必須具有可同時檢測到已知和全新威脅的安全解決方案。

我們的產品可同時檢測到RTM銀行木馬病毒和Quoter勒索軟體。

 

Comments are closed.

Proudly powered by WordPress | Theme: Baskerville 2 by Anders Noren.

Up ↑

%d 位部落客按了讚: