Le cybergang RTM utilise le nouveau ransomware Quoter

0

Le groupe russophone derrière le cheval de Troie bancaire RTM fait maintenant partie d’une campagne malveillante massive. Au-delà des logiciels malveillants bancaires pour lesquels il est connu, les attaquants ont fait appel à une famille de ransomware récemment découvert appelé Quoter dans le cadre d’une nouvelle stratégie de cyberattaque et d’extorsion.

Cette triple menace, qui a commencé sa « phase active » en Décembre 2020 et est en cours, a frappé au moins dix organisations russes dans les secteurs des transports et de la finance par le biais de messages électroniques malveillants, selon Kaspersky dans un rapport publié la semaine dernière.

Si les tactiques de vol d’argent du trojan-banker.win32.RTM utilisé par le groupe RTM échouent, les attaquants ont un plan de secours. Le plan « B » est de déployer une famille de ransomware jamais vu auparavant, que les chercheurs appellent Quoter. Le nom Quoter est dérivé du fait que le code ransomware intègre diverses citations populaires. Ensuite, les pirates informatique essaient d’extorquer de l’argent aux victimes, menaçant qu’ils publieront les données dérobées aux cibles s’ils ne paient pas.

« Ce qui est remarquable à propos de cette histoire est l’évolution du groupe derrière le ransomware RTM, selon une traduction du rapport de recherche de Kaspersky. Ils ont dit que le groupe est allé bien au-delà de ses méthodes habituelles de « faire de l’argent » comme l’extorsion et le doxing. Ils ont ajouté qu’il est inhabituel pour les cybercriminels russophones d’attaquer les organisations en Russie, bien que, le ransomware est également utilisé dans des attaques ciblées à l’extérieur du pays.

L’attaque d’e-mail d’RTM: téléchargement du cheval de Troie RTM

Kaspersky a déclaré que la phase initiale d’infection de la campagne a d’abord frappé les entreprises à la mi-2019, lorsque plusieurs entreprises ont déclaré avoir reçu divers e-mails d’hameçonnage avec des rubriques sur le sujet de l’entreprise. Il s’agissait notamment de lignes d’objet qui comprenaient des termes tels que « Assignation », « Demande de remboursement », « Documents de clôture » ou « Copies de documents pour le mois dernier ».

Le texte de l’e-mail a été bref et a demandé aux destinataires d’e-mail d’ouvrir un fichier joint pour plus d’informations détaillées. Si le destinataire de l’e-mail a ouvert la pièce jointe, Trojan-Banker.Win32.RTM a été installé.

malware

Le Trojan-Banker.Win32.RTM (également connu sous le nom de cheval de Troie RTM) est un cheval de Troie bancaire populaire. Selon un rapport de Kaspersky publié en Novembre, Trojan-Banker.Win32.RTM a été la cinquième famille de logiciels malveillants bancaires les plus populaires au troisième trimestre de 2020, prenant 7,4% de la part du gâteau derrière Emotet, Zbot et plus encore.

« Le trojan RTM a toujours été lié au groupe RTM », a déclaré Sergey Golovanov, chercheur principal en sécurité de Kasperksy GReAT. « Il a été créé spécifiquement pour les logiciels comptables et a toute une gamme de fonctions, y compris l’accès à distance et les fonctions de recherche optimisées pour la numérisation des logiciels comptables. Il peut rechercher toutes les mentions sur les clients bancaires, sur de nombreuses organisations qu’il recherche et sur des cibles. À l’époque, il y avait beaucoup de programmes comme celui-ci, celui-ci est le dernier, du moins en Russie.

Comme dans cette attaque, le malware est généralement distribué via des e-mails malveillants (en utilisant des messages déguisés) et une fois installé fournit aux attaquants un contrôle total sur les systèmes infectés.

Après l’infection initiale, les attaquants ont utilisé des programmes légitimes d’accès à distance, pour éviter la détection et bouger latéralement au sein des réseaux locaux des entreprises. Ces programmes incluent LiteManager, le logiciel de contrôle à distance et d’administration pour Windows, Linux et MacOS.

Une fois téléchargé, le cheval de Troie RTM remplace généralement les détails du compte alors qu’une victime tente d’effectuer un paiement ou de transférer des fonds. Selon Kaspersky, le cheval de Troie RTM peut également être utilisé par les attaquants pour transférer manuellement de l’argent à partir des comptes de la victime à l’aide d’outils d’accès à distance.

Le ransomware Quoter

Si les méthodes du cheval de Troie bancaire échouent, les chercheurs ont constaté que les attaquants utilisaient leur emprise initiale sur les systèmes afin de déployer un ransomware jamais vu auparavant, qu’ils ont appelé Ransom.Win32.Quoter.

« Quoter est très petit, très rapide et compilé sur le GCC », a déclaré Golovanov. « En moyenne, les attaquants ont demandé 1 million de dollars comme paiement. »

Le ransomware a chiffré le contenu des ordinateurs, en utilisant l’algorithme AES-256, et a laissé un message exigeant une rançon. Le code de ces fichiers cryptés comprenait plusieurs citations populaires. Par exemple, Golovanov a déclaré qu’il y’avait même une référence à un verset biblique.

Selon les chercheurs, « A ce moment-là, plusieurs mois se sont écoulés depuis que RTM avait consolidé sa position dans le réseau de l’organisation ».

Tactique de double-extorsion

Si les victimes ne payent pas la demande de rançon, les attaquants ont encore un autre tour dans leurs manches. Ici, le groupe RTM s’est appuyé sur une tactique de ransomware appelé double extorsion. Ils détiennent des données compromises contre une rançon et menacent de les publier ou de les divulguer si les victimes ne paient pas.

« Si le plan de rechange ne fonctionnait pas pour une raison ou une autre, alors après quelques semaines, les attaquants passent au chantage », ont déclaré les chercheurs.

Les victimes reçoivent un message que leurs données ont été dérobées et que cela coûterait un million de dollars (en Bitcoin) pour les récupérer ou les données confidentielles seront publiées sur Internet et pourront être téléchargé gratuitement.

La double extorsion est une tactique de plus en plus populaire parmi les groupes de ransomware. La tactique, qui a vu le jour à la fin de l’année 2019 avec les opérateurs de Maze, a été rapidement adoptée ces derniers mois par divers cybercriminels derrière les familles de ransomwares Clop, DoppelPaymer et Sodinokibi.

Laisser un commentaire