+11 голос |
Специалисты центра безопасности Positive Technologies (PT Expert Security Center) исследуют активность злоумышленников из RTM с 2018 г. Интересы кибергруппы шире, чем только финансовые компании: например, их атаки затрагивают также сферу промышленности. При этом, вместе с известными группировками Cobalt и Silence, RTM входит в число наиболее активных. Преступники стремятся получить контроль над счетами атакуемых организаций и похитить находящиеся на них средства.
Для получения доступа в корпоративную сеть группировка использует фишинговые рассылки. По данным PT Expert Security Center, за 2018 г. группировка провела 59 атак. С начала 2019 г. было зафиксировано еще 45 атак. Эксперты изучили формат фишинговых рассылок кибергруппировки RTM и выяснили, что в качестве одного из центров управления злоумышленники использовали домены в зоне .bit. Это специальная зона, созданная на базе блокчейна Namecoin, выступающего в роли альтернативного регистратора имен DNS.
Изучив особенности архитектуры блокчейна, специалисты сумели разработать алгоритм отслеживания регистрации новых доменов группировки и смены их IP-адресов. Это позволяет уведомлять кредитно-финансовые организации о новых управляющих серверах c небольшой задержкой после начала их использования злоумышленниками. Обычно этого достаточно, чтобы заблокировать обновившиеся IP-адреса группировки. Даже если рассылаемое в письмах вредоносное ПО попадет в сеть организации, злоумышленники не смогут с ним связаться и контролировать его.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
+11 голос |