RTM Cybergang fügt neue Quoter-Ransomware zur Verbrechensserie hinzu

Cyber Security News

Die russischsprachige RTM-Bedrohungsgruppe hat es in einer laufenden Kampagne auf Unternehmen abgesehen, die einen bekannten Banking-Trojaner, einen brandneuen Ransomware-Stamm und Erpressungstaktiken einsetzt.

Die russischsprachige Gruppe, die hinter dem berüchtigten RTM-Bankentrojaner steckt, hat jetzt eine ganze Reihe von Bedrohungen im Gepäck, die sie im Rahmen einer massiven neuen Geldbeschaffungskampagne einsetzt. Neben der Banking-Malware, für die sie bekannt ist, haben die Angreifer eine kürzlich entdeckte Ransomware-Familie namens Quoter als Teil einer neuen Doppelerpressungs-Cyberangriffsstrategie eingesetzt.

Der Dreifach-Bedrohungsangriff, der seine “aktive Phase” im Dezember 2020 begann und noch andauert, hat mindestens zehn russische Organisationen im Transport- und Finanzsektor über bösartige E-Mails getroffen, so Kaspersky in einem diese Woche veröffentlichten Bericht.

Sollte die Gelddiebstahl-Taktik der RTM-Gruppe mit ihrem Markenzeichen, dem Trojaner-Banker.Win32.RTM, fehlschlagen, haben die Angreifer einen Ersatzplan. Plan “B” ist der Einsatz einer noch nie dagewesenen Ransomware-Familie, die von den Forschern Quoter genannt wird. Der Name Quoter leitet sich von der Tatsache ab, dass der Ransomware-Code Zitate aus bekannten Filmen einbettet. Wenn die Angreifer dann auf eine Mauer stoßen, versuchen sie, Geld von den Opfern zu erpressen, indem sie damit drohen, dass sie die gestohlenen Daten der Opfer veröffentlichen werden, wenn diese nicht zahlen.

“Was an dieser Geschichte bemerkenswert ist, ist die Entwicklung der Gruppe hinter der RTM-Ransomware”, heißt es in einer Übersetzung des Forschungsberichts von Kaspersky. Sie sagten, dass die Gruppe weit über ihre bewährten Methoden des “Geldverdienens” – über Erpressung und Doxing – hinausgegangen ist. Sie fügten hinzu, dass es für russischsprachige Cyberkriminelle ungewöhnlich ist, Organisationen in Russland anzugreifen, obwohl die RTM-Ransomware auch bei gezielten Angriffen außerhalb des Landes eingesetzt wird.

RTM-E-Mail-Angriff: Herunterladen von RTM-Trojaner

Kaspersky sagte, dass die erste Infektionsphase der Kampagne Mitte 2019 zunächst Unternehmen traf, als mehrere Unternehmen berichteten, verschiedene Phishing-E-Mails mit unternehmensbezogenen Betreffzeilen zu erhalten. Dazu gehörten Betreffzeilen, die Begriffe wie “Vorladung”, “Antrag auf Rückerstattung”, “Abschlussdokumente” oder “Kopien von Dokumenten für den letzten Monat” enthielten.

Der Text der E-Mail war kurz und forderte die E-Mail-Empfänger auf, eine angehängte Datei für detailliertere Informationen zu öffnen. Wenn der E-Mail-Empfänger den Anhang öffnete, wurde Trojan-Banker.Win32.RTM installiert.

Der Trojan-Banker.Win32.RTM (auch als RTM-Trojaner bekannt) ist ein beliebter Banking-Trojaner. Laut einem Kaspersky-Bericht vom November war der Trojan-Banker.Win32.RTM im dritten Quartal 2020 die fünftbeliebteste Banking-Malware-Familie und erreichte einen Anteil von 7,4 Prozent hinter Emotet, Zbot und anderen.

Wie bei diesem Angriff wird die Malware in der Regel über bösartige E-Mails verbreitet (mit Nachrichten, die als Buchhaltungs- oder Finanzkorrespondenz getarnt sind) und bietet Angreifern nach der Installation die volle Kontrolle über die infizierten Systeme.

Nach der Erstinfektion nutzten die Angreifer legitime Fernzugriffsprogramme, um eine Entdeckung zu vermeiden, und bewegten sich seitlich in den lokalen Netzwerken der Unternehmen. Zu diesen Programmen gehört LiteManager, eine Fernsteuerungs- und Verwaltungssoftware für Windows, Linux und MacOS.

Einmal heruntergeladen, tauscht der RTM-Trojaner typischerweise Kontodaten aus, während ein Opfer versucht, eine Zahlung zu tätigen oder Geld zu überweisen. Laut Kaspersky kann der RTM-Trojaner von Angreifern auch dazu verwendet werden, mithilfe von Fernzugriffstools manuell Geld von den Konten der Opfer zu überweisen.

Quoter Ransomware

Sollten die Methoden des Banking-Trojaners fehlschlagen, fanden die Forscher heraus, dass die Angreifer ihren ersten Fuß auf den Systemen nutzten, um eine noch nie dagewesene Ransomware einzusetzen, die sie Ransom.Win32.Quoter nannten.

Die Ransomware verschlüsselte den Inhalt von Computern unter Verwendung des AES-256 CBC-Algorithmus und hinterließ eine Nachricht, in der ein Lösegeld gefordert wurde. Der Code dieser verschlüsselten Datei enthielt mehrere Zitate aus bekannten Filmen.

Die Forscher sagten: “Zu diesem Zeitpunkt waren bereits mehrere Monate vergangen, seit die RTM im Netzwerk der Organisation konsolidiert worden war.”

Threatpost hat die Kaspersky-Forscher um weitere Informationen über die Ransomware Quoter gebeten und wird diesen Bericht nach Möglichkeit aktualisieren.

Doppelte Erpressungstaktik

Wenn die Opfer die darauf folgende Lösegeldforderung nicht bezahlen, haben die Angreifer noch einen weiteren Trick im Ärmel. Hier setzte die RTM-Gruppe auf eine Ransomware-Taktik, die als doppelte Erpressung bezeichnet wird. Sie fordern Lösegeld für kompromittierte Daten und drohen, sie freizugeben oder zu veröffentlichen, wenn die Opfer nicht zahlen.

“Wenn der Backup-Plan aus dem einen oder anderen Grund nicht funktionierte, gingen die Angreifer nach ein paar Wochen zur Erpressung über”, so die Forscher.

Die Opfer erhalten eine Nachricht, dass ihre Daten gestohlen wurden und die Rückgabe eine Million Dollar (in Bitcoin) kosten würde – oder die vertraulichen Daten würden im Internet zum kostenlosen Download angeboten.

Doppelte Erpressung ist eine zunehmend beliebte Taktik unter Ransomware-Akteuren. Die Taktik, die erstmals Ende 2019 von Maze-Betreibern auftauchte, wurde in den letzten Monaten von verschiedenen Cyberkriminellen hinter den Ransomware-Familien Clop, DoppelPaymer und Sodinokibi schnell übernommen.

Einige Teile dieses Artikels stammen aus:
threatpost.com