روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ متخصصین ما کمپین مخرب جدیدی را شناسایی کردهاند که برای گرفتن قربانی از چندین ابزار مختلف استفاده میکند. این ابزارها عبارتند از تروجان بانکی، باجافزاری به نام Quoter (که سیستمهای ما قبلاً به آن برنخورده بودند)، برنامههای قانونیِ دسترسی ریموت (LiteManager و RMS شایدهم چند نوع دیگر...). اقدامات این مجرمان سایبری به گروهی موسوم به RTM نسبت داده شده است. در ادامه ضمن ارائه راهکارهای اولیه به نحوه حمله این گروه نیز پرداختهایم. با ما همراه بمانید.
نحوهی حمله مهاجمان
این حمله با یک فیشینگ استاندارد شروع میشود: مهاجمین آنچه را که ظاهراً یک ایمیل بوده اما در اصل Trojan-Banker.Win32.RTM است ارسال میکنند. آنها برای مجبور کردن گیرندگان ایمیل برای باز کردن پیوست از هدرهای جذاب و وسوسهانگیز استفاده میکنند؛ متخصصین ما طی تحقیقات خود به انواع زیر برخوردند:
- احضاریه
- درخواست بازپرداخت
- بستن اسناد
- کپی اسناد ماه گذشته
خود این تروجان جدید است؛ از سال 2018 بطور پیاپی در گزارشات 10 خانواده برتر بدافزارهای بانکیِ ما دیده میشود. اگر گیرنده روی پیوست کلیک نموده و بدافزار را نصب کند، ابزارهای اضافی هک را در کامپیوتر دانلود میکند. سپس مجرمان سایبری به دنبال شبکهی اینترنتی کامپیوترهای کارمندان حسابداری گشته و سعی دارند با جایگزین کردن جزئیات بانکی خود سیستم بانکی ریموت را دستکاری میکنند. البته این رفتار چندان هم از RTM بعید نبود. جالب است بدانید، این گروه سایبری به عنوان یک طرح بکآپ، Quoter (تروجان دیگری که تحت نام TrojanRansom.Win32.Quoter شناسایی شد) را اجرا کرد. این تروجان نقلقولهای فیلم را در کد فایلهایی که رمزگذاری میکند وارد نمینماید. RTM همچنین همه اطلاعات را بیرون کشیده و در ادامه تهدید میکند اگر باج داده نشود همه اطلاعات نشر داده خواهد شد (این اقدام رایج بین عاملین مدرن باجافزار است).
تارگتها
تاکنون، متخصصین ما تعداد معدودی قربانی را شناساسی کردهاند که همه مقرشان روسیه بوده و در حوزه خدمات مالی یا حمل و نقل نیز فعالیت داشتند. با این حال، تعداد قربانیان بیشتر از اینهاست؛ مدتزمان بین ابتلای اولیه و فعالسازی باجافزار –وقتی حمله محرز گردد- میتواند چندین ماه نیز باشد. در طول این زمان، مهاجمین شبکههای قربانیان را جستجو کرده و به دنبال کامپیوترهایی میگردند که مجهز به سیستمهای بانکی ریموت باشند. ممکن است شاهد حملات مشابه به شرکتهای فعال در مناطق دیگر نیز باشیم (Quoter نقلقولهایی را به انگلیسی درج میکند که لزوماً هم معنایی نمیدهند اما نشاندهنده این هستند که این گروه سایبری نگاهی بینالمللی به ماجرا دارند).
راهکارهای امنیتی
طبق معمول، محافظت مؤثر ابتدا از آموزش کارمند شروع میشود: بیشتر حملات از این دست با ایمیلهای فیشینگ شروع میشود. همکارانی که نسبت به چنین خطری آگاهند و تا حدودی از ترفندهای مهاجمین خبر دارند احتمالاً کمتر قربانی میشوند و از این شرکت نیز کمتر به خطر میافتد. شما میتوانید با استفاده از پلتفرم آنلاین تخصصی کار آموزش را کلید بزنید. برای شناسایی به موقع اقدامات جانبی مهاجمین از طریق شبکه سازمانی و استفاده از ابزارهای قانونی برای مقاصد مخرب، از ابزارهای پیشرفتهای برای شناسایی تهدیدهای پیچیده استفاده نمایید. افزون بر این، همه کامپیوترهای کارمندان خصوصاً آنهایی که با سیستمهای بانکی سر و کار دارند میبایست به راهکارهای امنیتیای مجهز باشند که هم قادر به شناسایی تهدیدهای کاملاً جدید هستند و هم تهدیدهای از پیششناختهشده. محصولات ما هم تروجان بانکی RTM را شناسایی میکند و هم باجافزار Quoter را.
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
