Nos experts ont d\u00e9tect\u00e9 une nouvelle campagne malveillante utilisant un large \u00e9ventail d\u2019outils dont un cheval de Troie bancaire, un ransomware du nom de Quoter (que notre syst\u00e8me ne connaissait pas) et des programmes d\u2019acc\u00e8s \u00e0 distance l\u00e9gitimes (LiteManager et RMS, et certainement d\u2019autres). Les cybercriminels font partie de RTM.<\/p>\n
Les attaques commencent par du phishing simple\u00a0: un e-mail des hackers avec un fichier en pi\u00e8ce jointe qui s\u2019av\u00e8re \u00eatre un Trojan-Banker.Win32.RTM. Afin d\u2019inciter les destinataires \u00e0 ouvrir le document joint, ils utilisent un en-t\u00eate\u00a0 accrocheur sp\u00e9cialement pens\u00e9 pour eux. Nos experts ont trouv\u00e9 les variantes suivantes\u00a0:<\/p>\n
Le cheval de Troie en lui-m\u00eame n\u2019est pas nouveau, car il apparaissait r\u00e9guli\u00e8rement dans nos rapports sur les 10 principales familles de logiciels malveillants bancaires depuis 2018<\/a>. Une fois que les destinataires cliquent sur la pi\u00e8ce jointe et installent le malware, de nouveaux outils de piratage se t\u00e9l\u00e9chargent sur l\u2019ordinateur.<\/p>\n Ensuite, les cybercriminels cherchent le r\u00e9seau des ordinateurs utilis\u00e9s par les comptables de l\u2019entreprise et essayent de manipuler le syst\u00e8me bancaire \u00e0 distance en rempla\u00e7ant les donn\u00e9es bancaires par les leurs. RTM utilise couramment cette m\u00e9thode. Chose int\u00e9ressante, comme solution de secours, le groupe a cr\u00e9\u00e9 Quoter (un autre cheval de Troie d\u00e9tect\u00e9 en tant que Trojan-Ransom.Win32.Quoter), qui porte ce nom car il ins\u00e8re des citations de films dans le code des fichiers qu\u2019il chiffre.<\/p>\n RTM prend en otage les donn\u00e9es et menace par la suite de les publier si la ran\u00e7on tarde, ce qui est une pratique courante des nouveaux op\u00e9rateurs des groupes de ransomware.<\/p>\n Jusque-l\u00e0, nos experts ont trouv\u00e9 des dizaines de victimes, toutes en Russie, et toutes dans le secteur du transport ou de la finance. Pourtant, ce nombre est susceptible d\u2019\u00eatre beaucoup plus \u00e9lev\u00e9\u00a0; la p\u00e9riode de l\u2019infection, entre son installation et l\u2019activation du ransomware, c\u2019est-\u00e0-dire quand l\u2019attaque est r\u00e9v\u00e9l\u00e9e, a tendance \u00e0 durer plusieurs mois. Pendant ce temps, les hackers parcourent les r\u00e9seaux de la victime, cherchant des ordinateurs avec un syst\u00e8me bancaire \u00e0 distance.<\/p>\n De telles attaques peuvent aussi toucher les entreprises bas\u00e9es dans d\u2019autres pays (Quoter introduit des citations en anglais, ce qui ne veut pas dire grand-chose, mais cela sugg\u00e8re que le groupe op\u00e8re \u00e0 l\u2019international). Pour avoir un aper\u00e7u technique de la nouvelle campagne avec un extrait du code malveillant et des indicateurs de compromission (IOCs), nous vous invitons \u00e0 lire l\u2019article<\/a> publi\u00e9 sur Securelist.<\/p>\n Comme d\u2019habitude, une protection efficace commence par la formation des employ\u00e9s : la plupart des attaques de ce genre commencent par des mails d\u2019hame\u00e7onnage. Les coll\u00e8gues qui sont au courant du danger et des tours habituels des intrus ont peu de chance de se faire avoir et de mettre l\u2019entreprise en danger. Vous pouvez organiser une formation en utilisant une plateforme en ligne<\/a> sp\u00e9cialis\u00e9e.<\/p>\n Pour d\u00e9tecter rapidement la pr\u00e9sence d\u2019intrus dans le r\u00e9seau de l\u2019entreprise et l\u2019utilisation d\u2019outils l\u00e9gitimes \u00e0 des fins malveillantes, ayez recours \u00e0 des outils de derni\u00e8re g\u00e9n\u00e9ration pour identifier les menaces complexes<\/a>.<\/p>\n Par ailleurs, tous les ordinateurs des employ\u00e9s, surtout ceux travaillant avec des syst\u00e8mes bancaires, doivent disposer de solutions de s\u00e9curit\u00e9 qui d\u00e9tectent les menaces habituelles et les menaces inconnues.<\/p>\nLes cibles<\/h2>\n
Se pr\u00e9munir contre ces cybermenaces<\/h2>\n