El troyano bancario RTM está de vuelta con un arsenal de trucos. Una nueva familia de ransomware, Quoter, también se ha unido a la fiesta.
¿Que esta pasando?
La nueva campaña para hacer dinero incluye un ataque de triple amenaza y ha afectado al menos a 10 organizaciones de transporte y finanzas rusas. El troyano se propaga a través de correos electrónicos de phishing, mensajes que se hacen pasar por correspondencia financiera y contable de rutina. Quoter viene como el Plan B y ha sido nombrado así porque el código incluye citas populares.
¿Por qué eso importa?
- Es inusual que los actores de amenazas de habla rusa apunten a las organizaciones rusas.
- Es notable que el grupo haya recurrido a herramientas no tan convencionales para ganar dinero: el doxxing y la extorsión.
Una breve historia del troyano RTM
- Activo desde 2015, RTM utiliza malware escrito en Delphi. Esta campaña comenzó en diciembre de 2020 y está en curso.
- El método principal de infección son los correos electrónicos de phishing. Los temas se eligen de una manera que incita a los destinatarios a abrir el mensaje. Los temas incluyen solicitudes de reembolso, citaciones o documentos de cierre, entre otros.
- Entre septiembre y diciembre de 2018, se enviaron 11.000 correos electrónicos maliciosos a instituciones financieras desde direcciones que se hicieron pasar por agencias gubernamentales.
¿Cómo mantenerse a salvo?
- Capacite a los empleados para identificar el malspam, especialmente en el departamento de contabilidad.
- Instale los últimos parches de seguridad.
- No instale software de fuentes desconocidas.
Conclusión y consejo
Es innegable que los ataques de ransomware se han vuelto más crueles y corporativos. Las variantes de ransomware en estos días están siendo diseñadas para vencer grandes objetivos y ganar millones. No hay razón para creer que el problema del ransomware desaparecerá pronto. Por lo tanto, es esencial que se tomen en cuenta y se corrijan los agujeros de seguridad.