Хакеры из RTM атаковали российские банки и другие организации при помощи фейковых писем от лица госучреждений, говорится в сообщении международной компании Group-IB, специализирующейся на предотвращении кибератак.

«Злоумышленники отправили более 11 тысяч писем с фейковых почтовых адресов российских госучреждений — все они содержали троян RTM, предназначенный для кражи денег из сервисов дистанционного банковского обслуживания (ДБО) и платежных систем. В среднем одно успешное хищение такого типа приносит злоумышленникам около 1,1 миллиона рублей. В настоящее время вредоносные рассылки продолжаются. Начиная с 11 сентября система Group-IB Threat Intelligence (киберразведка) фиксировала массовые рассылки по российским банкам, промышленным и транспортным компаниям: 3 210 писем было отправлено в сентябре, 2 311 — в октябре, 4 768 — в ноябре и 784 — в декабре… В общей сложности с сентября до начала декабря хакеры отправили 11 073 писем с 2 900 различных электронных адресов, подделанных под госучреждения», — отмечается в сообщении.

По данным Group-IB, среди «отправителей»: региональные управления Роспотребнадзора, Россельхознадзора, Ростехнадзора, Росприроднадзора, Министерства труда и соцразвития, УФСИН, прокуратуры, судов и другие.

Фальшивые письма, не имеющие к деятельности реальных госорганизаций никакого отношения, были замаскированы под служебные документы, например, «Оплата август-сентябрь», «Копии документов», «Служебная записка». Темы писем и адрес отправителя постоянно меняются, подчеркнули эксперты.

«Каждое такое письмо содержит вредоносное вложение, представляющее собой архив с исполняемым файлом. Распакованные файлы имеют фейковые иконки «PDF», что дополнительно вводит пользователя в заблуждение. После запуска извлеченного из архива файла происходит заражение компьютера… Схема хищения простая: RTM скачивает и запускает средства удаленного управления компьютером, после чего создается платежное поручение и отправляется в систему ДБО либо через зараженный компьютер, либо с компьютера злоумышленника (для этого похищаются аутентификационные данные и цифровая подпись, используемые в системе ДБО)», — пояснили в Group-IB.

Среди потенциальных жертв RTM — банки, игнорирующие установку средств защиты от целевых атак хакерских групп, а также те, кто редко проверяет текущее состояние инфраструктуры на предмет обнаружения подозрительной активности внутри периметра банка, заключил руководитель департамента сетевой безопасности Group-IB Никита Кислицин.