Неизвестный вирус-шифровальщик нападает на российские компании — его деятельность зафиксировали эксперты «Лаборатории Касперского». С декабря 2020 года около 10 финансовых и транспортных компаний были подвержены атакам с использованием программы-шифровальщика Quoter, информирует «РБК».

По предварительным данным, взломом могла заниматься русскоязычная группа RTM, которая рассылала фишинговые письма, зараженные «трояном». В качестве темы письма хакеры выбирали такие фразы, которые точно заставили бы получателя открыть его — например, «Повестка в суд», «Заявка на возврат», «Копии документов». После того, как получатель открывал письмо и переходил по ссылке, на его ПК тут же загружался троян RTM, через который злоумышленники впоследствии пробовали перевести деньги через бухгалтерские программы Для этого использовался принцип подмены реквизитов в платежных поручениях либо ручной набор с использованием средств удаленного доступа.

В случае, если перевести деньги злоумышленникам не удавалось, они применяли программу Quoter, которая шифровала данные с помощью криптографического алгоритма AES, и оставляла контакты для связи с хакерами. Но если получатель письма не реагировал и на это, хакеры использовали «тяжелый арсенал» — грозились выложить в открытый доступ украденные личные данные компании, и прикладывали доказательства. В качестве выкупа злоумышленники требовали около 1 млн долларов.

Ведущий эксперт «Лаборатории Касперского» Сергей Голованов прокомментировал, что такие атаки представляли для компаний серьезную угрозу — а особенностью такого взлома являлось то, что злоумышленники RTM впервые изменили используемые инструменты, и стали атаковать российские компании.

«Обычно программы-шифровальщики используются хакерами для атак на зарубежные компании, а тут они решили перейти на российский рынок. Причем используют для своих атак сразу несколько инструментов —фишинговое письмо с банковским троянцем и программу-шифровальщик», - добавил эксперт «Лаборатории Касперского».