{"id":21225,"date":"2021-03-09T10:27:02","date_gmt":"2021-03-09T16:27:02","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=21225"},"modified":"2021-03-09T10:27:02","modified_gmt":"2021-03-09T16:27:02","slug":"rtm-quoter-campaign","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/rtm-quoter-campaign\/21225\/","title":{"rendered":"M\u00e1s ataques de ransomware"},"content":{"rendered":"<p>Nuestros expertos detectaron una nueva campa\u00f1a maliciosa que involucra una gama bastante amplia de herramientas. Las herramientas incluyen un troyano bancario, un <em>ransomware<\/em> llamado Quoter (completamente nuevo para nuestros sistemas) y programas leg\u00edtimos de acceso remoto (LiteManager, RMS y posiblemente otros). Los cibercriminales est\u00e1n asociados con el grupo RTM.<\/p>\n<h2>C\u00f3mo operan los atacantes<\/h2>\n<p>El ataque comienza con un <em>phishing<\/em> est\u00e1ndar: los atacantes env\u00edan por correo electr\u00f3nico lo que parece ser un documento, pero en realidad es Trojan-Banker.Win32.RTM. Para que los destinatarios abran el archivo adjunto, utilizan encabezados de correo electr\u00f3nico llamativos que se dirigen a destinatarios corporativos. Nuestros expertos encontraron las siguientes variantes:<\/p>\n<ul>\n<li>Citaci\u00f3n judicial.<\/li>\n<li>Petici\u00f3n de reembolso.<\/li>\n<li>Documentos de cierre.<\/li>\n<li>Copias de documentos del \u00faltimo mes.<\/li>\n<\/ul>\n<p>El troyano en s\u00ed no es nuevo, ya que <a href=\"https:\/\/securelist.com\/it-threat-evolution-q3-2018-statistics\/88689\/\" target=\"_blank\" rel=\"noopener\">desde el 2018<\/a> ha figurado constantemente en nuestros informes de las 10 principales familias de <em>malware<\/em> bancario. Si el destinatario hace clic en el archivo adjunto e instala el <em>malware<\/em>, este descarga herramientas de hackeo adicionales en su computadora.<\/p>\n<p>A continuaci\u00f3n, los cibercriminales buscan en la red las computadoras de los empleados de los departamentos de contabilidad e intentan manipular el sistema bancario remoto sustituyendo sus propios datos bancarios por los correctos. Ese comportamiento no es nuevo para RTM. Curiosamente, como plan de respaldo, la banda lanz\u00f3 Quoter (otro troyano, detectado como Trojan-Ransom.Win32.Quoter), al que nombramos como tal porque inserta citas (<em>quote<\/em> en ingl\u00e9s) de pel\u00edculas en el c\u00f3digo de los archivos que cifra.<\/p>\n<p>Como es costumbre para los operadores actuales de <em>ransomware<\/em>, RTM tambi\u00e9n extrae informaci\u00f3n y luego amenaza con publicarla si el rescate se retrasa.<\/p>\n<h2>Los objetivos<\/h2>\n<p>Hasta ahora, nuestros expertos conocen alrededor de una docena de v\u00edctimas, todas operando en Rusia y en los sectores de transporte o servicios financieros. Sin embargo, es probable que la cifra de v\u00edctimas sea mayor; el per\u00edodo entre la infecci\u00f3n inicial y la activaci\u00f3n del <em>ransomware<\/em>, cuando el ataque se vuelve evidente, puede ser de varios meses. Durante ese tiempo, los atacantes exploran las redes de las v\u00edctimas en busca de computadoras con sistemas bancarios remotos.<\/p>\n<p>Es posible que posteriormente haya ataques similares contra empresas que operan en otras regiones (Quoter inserta citas en ingl\u00e9s, lo podr\u00eda no significar nada, pero s\u00ed indica que el grupo tiene una visi\u00f3n internacional). Para obtener una descripci\u00f3n general un poco m\u00e1s t\u00e9cnica de la nueva campa\u00f1a, incluidos fragmentos del c\u00f3digo malicioso y los indicadores de compromiso, te recomendamos que consultes esta <a href=\"https:\/\/securelist.ru\/new-targeted-attacks-rtm\/100720\/\" target=\"_blank\" rel=\"noopener\">publicaci\u00f3n<\/a> de Securelist.<\/p>\n<h2>C\u00f3mo protegerse de estas ciberamenazas<\/h2>\n<p>Como de costumbre, una protecci\u00f3n eficaz comienza con la educaci\u00f3n de los empleados: la mayor\u00eda de los ataques de este tipo tienen su inicio en correos electr\u00f3nicos de <em>phishing<\/em>. Aquellos empleados que conocen los peligros y trucos habituales de los intrusos tienen menos probabilidades de morder el anzuelo y poner en peligro a la empresa. Puedes organizar una capacitaci\u00f3n de manera remota con una <a href=\"https:\/\/k-asap.com\/es\/?icid=es-LA_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder____kasap___\" target=\"_blank\" rel=\"noopener\">plataforma <em>online<\/em> especializada<\/a>.<\/p>\n<p>Para la detecci\u00f3n oportuna de movimientos laterales por intrusos a trav\u00e9s de la red corporativa y el uso de herramientas leg\u00edtimas con fines maliciosos, implementa <a href=\"https:\/\/latam.kaspersky.com\/enterprise-security\/threat-management-defense-solution?icid=es-LA_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder____tmd___\" target=\"_blank\" rel=\"noopener\">herramientas avanzadas que identifiquen amenazas complejas<\/a>.<\/p>\n<p>Adem\u00e1s, todos las computadoras de los empleados, sobre todo aquellas que trabajan con sistemas bancarios, deben contar con soluciones de seguridad que puedan detectar amenazas conocidas y completamente nuevas.<\/p>\n<p><a href=\"https:\/\/latam.kaspersky.com\/small-to-medium-business-security?icid=es-LA_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">Nuestro productos detectan<\/a>\u00a0tanto el troyano bancario como el <em>ransomware<\/em> Quoter de RTM.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb-ransomware\">\n","protected":false},"excerpt":{"rendered":"<p>El grupo RTM ataca a sus v\u00edctimas con ransomware, un troyano bancario, y herramientas de acceso remoto.<\/p>\n","protected":false},"author":2581,"featured_media":21227,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6],"tags":[472,404],"class_list":{"0":"post-21225","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"tag-ransomware","9":"tag-troyanos-bancarios"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/rtm-quoter-campaign\/21225\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/rtm-quoter-campaign\/24812\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/rtm-quoter-campaign\/24068\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/rtm-quoter-campaign\/30195\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/rtm-quoter-campaign\/9398\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/rtm-quoter-campaign\/38931\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/rtm-quoter-campaign\/16490\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/rtm-quoter-campaign\/17094\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/rtm-quoter-campaign\/14540\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/rtm-quoter-campaign\/26306\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/rtm-quoter-campaign\/30157\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/rtm-quoter-campaign\/26758\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/rtm-quoter-campaign\/23610\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/ransomware\/","name":"ransomware"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/21225","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=21225"}],"version-history":[{"count":5,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/21225\/revisions"}],"predecessor-version":[{"id":21230,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/21225\/revisions\/21230"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/21227"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=21225"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=21225"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=21225"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}