Más ataques de ransomware

El grupo RTM ataca a sus víctimas con ransomware, un troyano bancario, y herramientas de acceso remoto.

Nuestros expertos detectaron una nueva campaña maliciosa que involucra una gama bastante amplia de herramientas. Las herramientas incluyen un troyano bancario, un ransomware llamado Quoter (completamente nuevo para nuestros sistemas) y programas legítimos de acceso remoto (LiteManager, RMS y posiblemente otros). Los cibercriminales están asociados con el grupo RTM.

Cómo operan los atacantes

El ataque comienza con un phishing estándar: los atacantes envían por correo electrónico lo que parece ser un documento, pero en realidad es Trojan-Banker.Win32.RTM. Para que los destinatarios abran el archivo adjunto, utilizan encabezados de correo electrónico llamativos que se dirigen a destinatarios corporativos. Nuestros expertos encontraron las siguientes variantes:

  • Citación judicial.
  • Petición de reembolso.
  • Documentos de cierre.
  • Copias de documentos del último mes.

El troyano en sí no es nuevo, ya que desde el 2018 ha figurado constantemente en nuestros informes de las 10 principales familias de malware bancario. Si el destinatario hace clic en el archivo adjunto e instala el malware, este descarga herramientas de hackeo adicionales en su computadora.

A continuación, los cibercriminales buscan en la red las computadoras de los empleados de los departamentos de contabilidad e intentan manipular el sistema bancario remoto sustituyendo sus propios datos bancarios por los correctos. Ese comportamiento no es nuevo para RTM. Curiosamente, como plan de respaldo, la banda lanzó Quoter (otro troyano, detectado como Trojan-Ransom.Win32.Quoter), al que nombramos como tal porque inserta citas (quote en inglés) de películas en el código de los archivos que cifra.

Como es costumbre para los operadores actuales de ransomware, RTM también extrae información y luego amenaza con publicarla si el rescate se retrasa.

Los objetivos

Hasta ahora, nuestros expertos conocen alrededor de una docena de víctimas, todas operando en Rusia y en los sectores de transporte o servicios financieros. Sin embargo, es probable que la cifra de víctimas sea mayor; el período entre la infección inicial y la activación del ransomware, cuando el ataque se vuelve evidente, puede ser de varios meses. Durante ese tiempo, los atacantes exploran las redes de las víctimas en busca de computadoras con sistemas bancarios remotos.

Es posible que posteriormente haya ataques similares contra empresas que operan en otras regiones (Quoter inserta citas en inglés, lo podría no significar nada, pero sí indica que el grupo tiene una visión internacional). Para obtener una descripción general un poco más técnica de la nueva campaña, incluidos fragmentos del código malicioso y los indicadores de compromiso, te recomendamos que consultes esta publicación de Securelist.

Cómo protegerse de estas ciberamenazas

Como de costumbre, una protección eficaz comienza con la educación de los empleados: la mayoría de los ataques de este tipo tienen su inicio en correos electrónicos de phishing. Aquellos empleados que conocen los peligros y trucos habituales de los intrusos tienen menos probabilidades de morder el anzuelo y poner en peligro a la empresa. Puedes organizar una capacitación de manera remota con una plataforma online especializada.

Para la detección oportuna de movimientos laterales por intrusos a través de la red corporativa y el uso de herramientas legítimas con fines maliciosos, implementa herramientas avanzadas que identifiquen amenazas complejas.

Además, todos las computadoras de los empleados, sobre todo aquellas que trabajan con sistemas bancarios, deben contar con soluciones de seguridad que puedan detectar amenazas conocidas y completamente nuevas.

Nuestro productos detectan tanto el troyano bancario como el ransomware Quoter de RTM.

Consejos