Nossos especialistas detectaram uma nova forma de golpe envolvendo uma ampla gama de ferramentas. As ferramentas incluem um Trojan banc\u00e1rio, ransomware chamado Quoter (que nossos sistemas n\u00e3o haviam detectado anteriormente) e programas leg\u00edtimos de acesso remoto (LiteManager e RMS, possivelmente outros). Os cibercriminosos est\u00e3o associados ao grupo RTM.<\/p>\n
O ataque come\u00e7a com um phishing padr\u00e3o: os invasores enviam por e-mail o que parece ser um documento, mas na verdade \u00e9 Trojan-Banker.Win32.RTM. Para fazer com que os destinat\u00e1rios abram o anexo, eles usam cabe\u00e7alhos de e-mail que chamam a aten\u00e7\u00e3o voltados para destinat\u00e1rios corporativos. Nossos especialistas encontraram as seguintes variantes:<\/p>\n
O Trojan em si n\u00e3o \u00e9 novo, tendo aparecido consistentemente nos nossos relat\u00f3rios das 10 principais fam\u00edlias de malware banc\u00e1rio desde 2018<\/a>. Se o destinat\u00e1rio clicar no anexo e instalar o malware, ele far\u00e1 o download de ferramentas adicionais de hacking no computador.<\/p>\n Em seguida, os cibercriminosos procuram na rede os computadores dos funcion\u00e1rios da contabilidade e tentam manipular o sistema banc\u00e1rio remoto, substituindo seus pr\u00f3prios dados banc\u00e1rios pelos corretos. Mas nada disso \u00e9 novo para RTM. Curiosamente, como um plano de backup, a gangue lan\u00e7ou o Quoter (outro Trojan, detectado como Trojan-Ransom.Win32.Quoter), que denominamos como tal porque insere cita\u00e7\u00f5es de filmes no c\u00f3digo dos arquivos que criptografa.<\/p>\n Como \u00e9 pr\u00e1tica comum para operadores de ransomware modernos, o RTM tamb\u00e9m desvia informa\u00e7\u00f5es e, posteriormente, amea\u00e7a public\u00e1-las se o resgate atrasar.<\/p>\n At\u00e9 agora, nossos especialistas sabem de cerca de uma d\u00fazia de v\u00edtimas, todas operando na R\u00fassia, todas nas \u00e1reas de transporte ou servi\u00e7os financeiros. No entanto, a contagem de v\u00edtimas tende a ser maior; o per\u00edodo entre a invas\u00e3o inicial e a ativa\u00e7\u00e3o do ransomware, quando o ataque se torna evidente, pode ser de v\u00e1rios meses. Durante esse tempo, os invasores exploram as redes das v\u00edtimas, em busca de computadores com sistemas banc\u00e1rios remotos.<\/p>\n Ataques semelhantes a empresas que operam em outras regi\u00f5es podem ocorrer (Quoter insere cita\u00e7\u00f5es em ingl\u00eas, o que n\u00e3o significa necessariamente nada, mas sugere que o grupo tem uma vis\u00e3o internacional). Para uma vis\u00e3o geral um pouco mais t\u00e9cnica do novo ataque, incluindo fragmentos do c\u00f3digo malicioso e os indicadores de comprometimento, consulte a publica\u00e7\u00e3o da Securelist<\/a>.<\/p>\n Como de costume, a prote\u00e7\u00e3o eficaz come\u00e7a com a educa\u00e7\u00e3o do funcion\u00e1rio: a maioria dos ataques desse tipo come\u00e7a com e-mails de phishing. Colegas que est\u00e3o cientes do perigo e dos truques padr\u00e3o dos intrusos t\u00eam menos probabilidade de morder a isca e colocar a empresa em perigo. Voc\u00ea pode organizar o treinamento remotamente usando uma plataforma online especializada<\/a>.<\/p>\n Para a detec\u00e7\u00e3o oportuna de movimento lateral por intrusos atrav\u00e9s da rede corporativa e o uso de ferramentas leg\u00edtimas para fins maliciosos, implante ferramentas avan\u00e7adas para identificar amea\u00e7as complexas<\/a>.<\/p>\n Al\u00e9m disso, todos os computadores dos funcion\u00e1rios, especialmente aqueles que trabalham com sistemas banc\u00e1rios, devem ter solu\u00e7\u00f5es de seguran\u00e7a que possam detectar amea\u00e7as conhecidas e completamente novas.<\/p>\nOs alvos<\/h2>\n
Como se prevenir contra as ciberamea\u00e7as?<\/h2>\n