Unsere Sicherheitsexperten haben eine neue bösartige Kampagne aufgedeckt, bei der eine große Anzahl an Tools eingesetzt wird. Zu den Tools zählen ein Banking-Trojaner, eine Ransomware namens Quoter (die schon vor einiger Zeit von unseren Systemen entdeckt wurde) und legitime Remote-Access-Tools, wie LiteManager, RMS und möglicherweise auch andere. Die Cyberkriminellen gehören zur RTM-Gruppe.
Die Methode der Angreifer
Der Angriff beginnt mit einer Standard-Phishing-Methode: Die Cyberverbrecher schicken eine E-Mail mit einem Anhang, der aussieht wie ein gewöhnliches Dokument, aber tatsächlich handelt es sich um den Trojan-Banker.Win32.RTM. Die Verbrecher verwenden Kopfzeilen, die an die Mitarbeiter des Unternehmens gerichtet sind und die Aufmerksamkeit der Empfänger erwecken sowie sie dazu verleiten sollen, den Anhang vorbehaltlos zu öffnen. Unsere Experten haben folgende Varianten gefunden:
- Vorladung
- Erstattungsanfrage
- Abschlussdokument
- Kopien von Dokumenten des vergangenen Monats
Der Trojaner ist nicht neu und erscheint seit 2018 immer wieder in unseren Top 10 der Malware-Familien. Wenn der Empfänger auf den Anhang klickt, lädt er nicht nur die Malware auf seinem Computer herunter, sondern auch zusätzliche Hacking-Tools.
Der nächste Schritt besteht darin das Netzwerk möglichst unbemerkt zu durchsuchen (Lateral Movement), um die Computer der Buchhaltungsmitarbeiter ausfindig zu machen. Über diese Computer versuchen die Verbrecher dann das Online-Banking-System zu manipulieren und die richtige Bankverbindung gegen die der Cyberkriminellen auszutauschen. Diese Vorgangsweise ist nicht neu für RTM. Interessanterweise installiert die Gang gleichzeitig auch Quoter, sozusagen als Plan B. Quoter ist ein weiterer Trojaner, den wir als Trojan-Ransom.Win32.Quoter entdeckt haben. Dieser Trojaner schleust Filmzitate (auf Englisch movie quotes) in den Code ein, der zur Verschlüsselung der Dateien verwendet wird und diesen „Quotes“ verdankt er seinen Namen.
Wie es bei modernen Ransomware-Betreibern üblich ist, stiehlt RTM Informationen und droht damit, diese zu veröffentlichen, wenn die Verbrechergruppe das geforderte Lösegeld nicht pünktlich erhält.
Wer steht im Fokus der Cyberkriminellen?
Bis jetzt sind unseren Sicherheitsexperten ungefähr ca. ein Duzend Fälle bekannt. Alle Angriffe fanden in Russland statt und die Opfer sind ausschließlich Unternehmen, die in der Logistik- oder Finanzbranche tätig sind. Die tatsächliche Anzahl der Opfer ist aber wahrscheinlich höher – der Zeitraum ab der Infizierung der Computer bis zur Aktivierung der Ransomware (Zeitpunkt zu dem der Angriff spätestens ans Licht kommt), kann mehrere Monate dauern. In dieser Zeit erforschen die Angreifer das Netzwerk des Opfers und suchen nach Online-Banking-Systemen.
Möglicherweise werden ähnliche Angriffe auf Unternehmen folgen, die in anderen Regionen tätig sind. (Quoter fügt auch Zitate auf Englisch ein, was nicht unbedingt etwas zu bedeuten hat, aber es deutet gewissermaßen an, dass die Gang international expandieren möchte). Detaillierte technische Daten der Kampagne, einschließlich einige der bösartigen Codeschnipsel und Kompromittierungsindikatoren (IoC), finden Sie im Blogbeitrag der Kaspersky-Cybersicherheitsseite Securelist.
Schutz vor dieser Art von Cyberbedrohungen
Wie üblich besteht die erste zu ergreifende Schutzmaßnahme darin die Mitarbeiter zu schulen: Die meisten dieser Angriffe beginnen mit einem Phishing-Angriff. Mitarbeiter, die ausreichend zum Thema Cybersicherheit geschult sind, sind sich der Gefahren bewusst und fallen weniger auf die Standardtricks der Eindringlinge herein, wodurch das Unternehmen vor Cyberangriffen geschützt wird. Sie können Remote-Schulungen mithilfe einer Online-Plattform organisieren.
Zur rechtzeitigen Entdeckung von Lateral Movements (deutsch: Seitwärtsbewegung), bzw. das Erkennen von Eindringlingen im Unternehmensnetzwerk und die Verwendung von legitimen Tools zu bösartigen Zwecken, ist es empfehlenswert ein fortschrittliches Tool zu verwenden, das in der Lage ist komplexe Bedrohungen zu erkennen.
Darüber hinaus sollten alle Computer von Mitarbeitern – besonders von Mitarbeitern, die mit Banksystemen arbeiten – mit einer Sicherheitslösung ausgestattet sein, die sowohl bekannte als auch neue Bedrohungen erkennt.
Unsere Produkte erkennen den RTM-Banking-Trojaner und die Quoter-Ransomware.