Спецпроекты

Эксперты PT Expert Security Center предсказывают атаки кибергруппировки RTM

Безопасность Техническая защита

Экперты центра безопасности Positive Technologies (PT Expert Security Center) исследуют активность злоумышленников из RTM с 2018 года. Интересы кибергруппы шире, чем только финансовые компании: например, их атаки затрагивают также сферу промышленности. При этом, вместе с известными группировками Cobalt и Silence, RTM входит в тройку самых активных кибергруппировок, атакующих российских финансовый сектор. Преступники стремятся получить контроль над счетами атакуемых организаций и похитить находящиеся на них средства.

Для получения доступа в корпоративную сеть группировка использует фишинговые рассылки. По данным PT Expert Security Center, за 2018 год группировка провела 59 атак. С начала 2019 года было зафиксировано еще 45 атак. Эксперты PT Expert Security Center изучили формат фишинговых рассылок кибергруппировки RTM и выяснили, что в качестве одного из центров управления злоумышленники использовали домены в зоне .bit. Это специальная зона, созданная на базе блокчейна Namecoin, выступающего в роли альтернативного регистратора имен DNS.

Изучив особенности архитектуры блокчейна, эксперты PT Expert Security Center сумели разработать алгоритм отслеживания регистрации новых доменов группировки и смены их IP-адресов. Это позволило уведомлять кредитно-финансовые организации о новых управляющих серверах c небольшой задержкой после начала их использования злоумышленниками. «Проведенное исследование позволило нам выявлять признаки планируемой атаки до фишинговой рассылки, — сказал директор экспертного центра безопасности PT Expert Security Center Алексей Новиков. — Этого достаточно, чтобы заблокировать обновившиеся IP-адреса группировки. Даже если рассылаемое в письмах вредоносное ПО попадет в сеть организации, злоумышленники не смогут с ним связаться и контролировать его».

Эксперты PT Expert Security Center не в первый раз разоблачают активность кибергруппировок. Весной 2019 года было опубликовано исследование деятельности группировки TaskMasters, атакующей российские промышленные компании, до этого обнаружена группировка ICEFOG, выявлен ряд APT на государственные и частные компании, расследованы действия группировки Cobalt. Только за 2018 году эксперты Positive Technologies провели более пятидесяти расследований киберинцидентов.



Профиль месяца

Мы помогаем выращивать российское ПО

Андрей Филатов

глава SAP CIS

Событие месяца

Вручены награды CNews AWARDS 2019: люди, технологии, проекты