El grupo cibercriminal RTM utiliza un nuevo ransomware para atacar a organizaciones financieras y de transporte

Desde diciembre de 2020, Kaspersky ha detectado una serie de ataques dirigidos contra empresas financieras y de transporte que utilizan un nuevo ransomware apodado Quoter. Los ataques han sido llevados a cabo por un conocido actor de habla rusa, RTM, especializado en atacar a usuarios corporativos desde 2016. Los cibercriminales piden una media de un millón de dólares de rescate cada vez. Este nuevo ransomware es la primera actualización de un conocido kit de herramientas empleado habitualmente por este grupo criminal. Aunque tradicionalmente se dirige a organizaciones fuera de Rusia, el cibergrupo ha atacado por primera vez a organizaciones de su propio país, lo que indica cambios continuos en su estrategia.

Los recientes ataques, que siguen más o menos el patrón estándar de la actividad de RTM, se detectaron por primera vez en diciembre de 2020 y siguen en curso.

La infección se produce a través de la distribución de correos electrónicos de phishing. Los atacantes eligen un tema que estiman que obligará al destinatario a abrirlo, como "Solicitud de reembolso" o "Copias de documentos del último mes". Si el destinatario hace clic en un enlace o abre un archivo adjunto, el troyano RTM se descarga en su dispositivo.

Tras acceder con éxito al sistema, los atacantes intentan transferir dinero a través de los programas de contabilidad sustituyendo los detalles de la orden de pago, ya sea mediante el uso de software malicioso o manualmente con herramientas de acceso remoto. Si fracasan, lanzan el ransomware Quoter. El programa encripta los datos y deja contactos para comunicarse con los cibercriminales. Si la víctima no responde, los atacantes anuncian que están dispuestos a hacer pública la información confidencial robada y adjuntan pruebas. Entre la infección inicial del sistema y la aplicación del ransomware suelen transcurrir varios meses.

"Estos incidentes indican una interesante tendencia en la que los atacantes utilizan el ransomware como una palanca adicional para lograr sus objetivos. Sus tácticas incluyen el uso de varias herramientas a la vez, como un correo electrónico de phishing con un troyano bancario y un programa de cifrado", comenta Sergey Golovanov, investigador principal de seguridad de Kaspersky. "El hecho de que RTM haya atacado a organizaciones rusas es inusual, ya que la práctica habitual es utilizar este tipo de herramientas de ransomware contra organizaciones de otros países. Esto, sin embargo, no significa que vayan a seguir con esta táctica, por lo que es posible que veamos este tipo de ataques en otras regiones en un futuro próximo."

Las soluciones de Kaspersky detectan el ransomware Quoter como Trojan-Ransom.Win32.Quoter.

Más información sobre Quoter en KasperskyDaily.

Para contrarrestar este tipo de ataques sofisticados, Kaspersky recomienda:

• Realizar de forma regular formaciones en ciberseguridad para los empleados, por ejemplo, con la solución Kaspersky Automated Security Awareness Platform, ya que los ataques dirigidos suelen comenzar con phishing y otras técnicas de ingeniería social;
• Tener siempre copias de seguridad recientes de sus archivos para poder reemplazarlos en caso de que se pierdan y almacenarlos no sólo en el dispositivo físico sino también en la nube para una mayor fiabilidad. Asegúrese de poder acceder rápidamente a ellos en caso de emergencia cundo los necesite.
• Compruebe regularmente si la empresa tiene segmentos de red que deban estar aislados de otras redes y de Internet; por ejemplo, realizando periódicamente análisis de seguridad y pruebas de penetración.
• Restringir el acceso a las herramientas de gestión remota desde direcciones IP externas. Asegúrese de que sólo se puede acceder a las interfaces de control remoto desde un número limitado de endpoints.
• Implemente una solución EDR que detecte los ataques que hacen un uso indebido del software legítimo, como las herramientas de acceso remoto.
• Nunca pague el rescate si se convierte en víctima. El ransomware es un delito. Pagar no le garantizará recuperar sus datos ni que los delincuentes no los hagan públicos, pero sí los animará a continuar con su negocio. En su lugar, informe del incidente a los cuerpos y fuerzas de seguridad.

Kaspersky

Kaspersky es una compañía global de ciberseguridad fundada en 1997. La profunda experiencia de Kaspersky en inteligencia de amenazas y seguridad se está continuamente transformando en innovadoras soluciones y servicios de seguridad para proteger a empresas, infraestructuras críticas, gobiernos y consumidores en todo el mundo. El extenso portfolio de productos de seguridad de la empresa incluye su reputada solución de protección de endpoints, junto con una serie de soluciones y servicios de seguridad especializados para combatir las sofisticadas y cambiantes amenazas digitales. Más de 400 millones de usuarios son protegidos por las tecnologías de Kaspersky y ayudamos a 250.000 clientes corporativos a proteger lo que más les importa. Obtenga más información en www.kaspersky.es