Nos experts ont détecté une nouvelle campagne malveillante utilisant un large éventail d’outils dont un cheval de Troie bancaire, un ransomware du nom de Quoter (que notre système ne connaissait pas) et des programmes d’accès à distance légitimes (LiteManager et RMS, et certainement d’autres). Les cybercriminels font partie de RTM.
Comment les hackers procèdent-ils ?
Les attaques commencent par du phishing simple : un e-mail des hackers avec un fichier en pièce jointe qui s’avère être un Trojan-Banker.Win32.RTM. Afin d’inciter les destinataires à ouvrir le document joint, ils utilisent un en-tête accrocheur spécialement pensé pour eux. Nos experts ont trouvé les variantes suivantes :
- Citation à comparaître
- Demande de remboursement
- Documents de clôture
- Copies de documents du mois précédent
Le cheval de Troie en lui-même n’est pas nouveau, car il apparaissait régulièrement dans nos rapports sur les 10 principales familles de logiciels malveillants bancaires depuis 2018. Une fois que les destinataires cliquent sur la pièce jointe et installent le malware, de nouveaux outils de piratage se téléchargent sur l’ordinateur.
Ensuite, les cybercriminels cherchent le réseau des ordinateurs utilisés par les comptables de l’entreprise et essayent de manipuler le système bancaire à distance en remplaçant les données bancaires par les leurs. RTM utilise couramment cette méthode. Chose intéressante, comme solution de secours, le groupe a créé Quoter (un autre cheval de Troie détecté en tant que Trojan-Ransom.Win32.Quoter), qui porte ce nom car il insère des citations de films dans le code des fichiers qu’il chiffre.
RTM prend en otage les données et menace par la suite de les publier si la rançon tarde, ce qui est une pratique courante des nouveaux opérateurs des groupes de ransomware.
Les cibles
Jusque-là, nos experts ont trouvé des dizaines de victimes, toutes en Russie, et toutes dans le secteur du transport ou de la finance. Pourtant, ce nombre est susceptible d’être beaucoup plus élevé ; la période de l’infection, entre son installation et l’activation du ransomware, c’est-à-dire quand l’attaque est révélée, a tendance à durer plusieurs mois. Pendant ce temps, les hackers parcourent les réseaux de la victime, cherchant des ordinateurs avec un système bancaire à distance.
De telles attaques peuvent aussi toucher les entreprises basées dans d’autres pays (Quoter introduit des citations en anglais, ce qui ne veut pas dire grand-chose, mais cela suggère que le groupe opère à l’international). Pour avoir un aperçu technique de la nouvelle campagne avec un extrait du code malveillant et des indicateurs de compromission (IOCs), nous vous invitons à lire l’article publié sur Securelist.
Se prémunir contre ces cybermenaces
Comme d’habitude, une protection efficace commence par la formation des employés : la plupart des attaques de ce genre commencent par des mails d’hameçonnage. Les collègues qui sont au courant du danger et des tours habituels des intrus ont peu de chance de se faire avoir et de mettre l’entreprise en danger. Vous pouvez organiser une formation en utilisant une plateforme en ligne spécialisée.
Pour détecter rapidement la présence d’intrus dans le réseau de l’entreprise et l’utilisation d’outils légitimes à des fins malveillantes, ayez recours à des outils de dernière génération pour identifier les menaces complexes.
Par ailleurs, tous les ordinateurs des employés, surtout ceux travaillant avec des systèmes bancaires, doivent disposer de solutions de sécurité qui détectent les menaces habituelles et les menaces inconnues.
Nos produits détectent à la fois le cheval de Troie bancaire de RTM et le ransomware Quoter.