Nuestros expertos han detectado una nueva campaña maliciosa que involucra una gama bastante amplia de herramientas. Las herramientas incluyen un troyano bancario, un ransomware llamado Quoter (con el que nuestros sistemas no se habían encontrado anteriormente) y programas legítimos de acceso remoto (LiteManager, RMS y posiblemente otros). Los ciberdelincuentes están asociados con el grupo RTM.
Cómo operan los atacantes
El ataque comienza con una suplantación de identidad estándar: los ciberdelincuentes envían un correo electrónico que parece ser un documento, pero en realidad es Trojan-Banker.Win32.RTM. Para que los destinatarios abran el archivo adjunto, utilizan encabezados de correo electrónico que llaman la atención y que se dirigen a destinatarios corporativos. Nuestros expertos encontraron las siguientes variantes:
- Citación.
- Petición de reembolso.
- Documentos de cierre de venta.
- Copias de documentos del último mes.
El troyano en sí no es nuevo, ya que lleva apareciendo constantemente en nuestros informes de las 10 principales familias de malware bancario desde el 2018. Si el destinatario hace clic en el archivo adjunto e instala el malware, descarga herramientas de hackeo adicionales en su ordenador.
A continuación, los ciberdelincuentes buscan en la red los ordenadores de los empleados de los departamentos de contabilidad e intentan manipular el sistema bancario remoto sustituyendo sus propios datos bancarios por los correctos. Ese comportamiento no es nuevo para RTM. Curiosamente, como plan de respaldo, la banda lanzó Quoter (otro troyano, detectado como Trojan-Ransom.Win32.Quoter), al que nombramos como tal porque inserta citas (quote en inglés) de películas en el código de los archivos que cifra.
Como ya hacen otros operadores actuales de ransomware, RTM también extrae información y luego amenaza con publicarla si el rescate se retrasa.
Los objetivos
Hasta ahora, nuestros expertos conocen alrededor de una docena de víctimas, todas operando en Rusia y en los sectores de transporte o servicios financieros. Sin embargo, es probable que la cifra de víctimas sea mayor; el período entre la infección inicial y la activación del ransomware, cuando el ataque se vuelve evidente, puede ser de varios meses. Durante ese tiempo, los atacantes exploran las redes de las víctimas en busca de ordenadores con sistemas bancarios remotos.
Pueden seguir ataques similares contra empresas que operan en otras regiones (Quoter inserta citas en inglés, lo que no significa necesariamente nada, pero sí sugiere que el grupo tiene una visión internacional). Para obtener una descripción general un poco más técnica de la nueva campaña, incluidos fragmentos del código malicioso y los indicadores de compromiso, te recomendamos que consultes esta publicación de Securelist.
Cómo protegerse de estas ciberamenazas
Como de costumbre, una protección eficaz comienza con la educación de los empleados: la mayoría de los ataques de este tipo tienen su inicio en correos electrónicos de phishing. Aquellos empleados que conocen los peligros y trucos habituales de los intrusos tienen menos probabilidades de picar en el anzuelo y poner en peligro a la empresa. Puedes organizar una formación en remoto con una plataforma online especializada.
Para la detección oportuna de movimientos laterales por intrusos a través de la red corporativa y el uso de herramientas legítimas con fines maliciosos, implementa herramientas avanzadas que identifiquen amenazas complejas.
Además, todos los ordenadores de los empleados, sobre todo aquellos que trabajan con sistemas bancarios, deben contar con soluciones de seguridad que puedan detectar amenazas conocidas y completamente nuevas.
Nuestros productos detectan tanto el troyano bancario RTM como el ransomware Quoter.