Листи з троянами розсилали банківським установам Росії

Троян RTM для крадіжки грошей розсилали хакаери російським банкам у листах з підроблених e-mail-адрес державних установ Російської Федерації. Розсилку здійснювали щонайменше з 11 вересня 2018 року із сервісів дистанційного банківського обслуговування і платіжних систем.

Про це повідомляє компанія з кібербезпеки Group IB, пише Українська правда з посиланням на РБК.

Адресатами листів були не лише банки, але й промислові та транспортні компанії.

За чотири місяці хакери відправили близько 11 тисяч повідомлень, більша частина з них припала на листопад, менша – на грудень.

Автори листів видавали себе за регіональні управління Міністерства праці, Росспоживнагляду, ФСВП та інші державні установи РФ.

У якості тем листів вказувалося: “Копії документів”, “Службова записка” тощо.  До кожного листа додавався архів із трояном.

“Схема розкрадання проста: RTM викачує і запускає засоби віддаленого управління комп’ютером, після чого створюється платіжне доручення і відправляється в систему ДБО або через заражений комп’ютер, або з комп’ютера зловмисника”, – зазначили в Group IB.

За оцінкою експертів, у середньому атака на одну юридичну особу приносила хакерам понад 1 мільйон рублів.

Про шкідливі листи в російські банки Group IB повідомляла і 15 листопада. Тоді вказувалася, що послання під виглядом офіційних повідомлень ЦБ отримало близько 50 банків, а також кілька фінансових установ за кордоном.

За даними  фахівців, вірус використовувало угруповання The Silence, в яке входять російськомовні хакери.

Воно й раніше займалося нападами на банки в Росії, Україні, Білорусії, Азербайджані, Польщі, Казахстані та Великобританії, а також на системи управління банкоматами, картковий процесинг і російську систему міжбанківських переказів АРМ КБР.

У кінці жовтня атаку на російські банки здійснило ще одне угрупування хакерів – MoneyTaker. У ході цієї атаки з підробленого адреси “ФінЦЕРТ”, структури департаменту інформаційної безпеки ЦБ, також були розіслані листи з небезпечними вкладеннями, замаскованими під угоду про взаємодію з ЦБ з питань моніторингу.