Как минимум 10 российских финансовых и транспортных компаний подверглись с декабря 2020 г. хакерским атакам через ранее неизвестную программу-шифровальщик Quoter, говорится в сообщении «Лаборатории Касперского».

По информации компании, за хакерскими атаками стоит русскоязычная группировка RTM. Согласно данным «Лаборатории Касперского», злоумышленники рассылали фишинговые письма, выбирая темы, которые, по их расчетам, должны были заставить пользователя открыть сообщение: «Повестка в суд», «Заявка на возврат», «Закрывающие документы» или «Копии документов за прошлый месяц» и т.д. Как только пользователь переходил по ссылке или открывал вложение, на его устройство загружалась троянская программа.

Далее киберпреступники пытались перевести финансовые средства через бухгалтерские программы при помощи подмены реквизитов в платежных поручениях либо вручную через удаленный доступ. В случае неудачной попытки хакеры пускали в ход вредоносную программу Quoter, которая шифровала данные с помощью криптографического алгоритма AES и оставляла контакты для связи со злоумышленниками. Если получатель не реагировал, они грозились выложить в открытый доступ украденные личные данные, а в качестве выкупа требовали около $1 млн.

Ведущий эксперт «Лаборатории Касперского» Сергей Голованов сообщил, что новый тип хакерских атак представляет для российских фирм серьезную угрозу. «Среди особенностей данной кампании можно назвать то, что русскоязычные злоумышленники RTM впервые изменили используемые инструменты, более того, теперь они атакуют российские компании», — рассказал Голованов. По его словам, обычно подобные программы-шифровальщики используются в хакерских атаках в основном на зарубежные организации.