Киберохота на бухгалтера: следите за 1c_to

Киберохота на бухгалтера: следите за 1c_to_kl.txt

Вирусная лаборатория ESET опубликовала отчет о деятельности кибергруппы RTM, атакующей российские организации. Для кражи средств у компаний хакеры подменяют реквизиты исходящих платежей в транспортных файлах 1С.

Группировка RTM использует специально разработанные программы, написанные на языке программирования Delphi. Система телеметрии ESET LiveGrid® зафиксировала первые следы этих вредоносных инструментов в конце 2015 года. Функционал RTM включает перехват нажатия клавиш, чтение смарт-карт, загрузку в зараженную систему новых модулей, мониторинг процессов, связанных с банковской деятельностью.

В фокусе атакующих – бухгалтерские системы, взаимодействующие с решениями дистанционного банковского обслуживания (ДБО). Вредоносное ПО RTM распространяется преимущественно через взломанные сайты (drive-by download) и спам. Эти инструменты удобны для таргетированных атак, поскольку в первом случае атакующие могут выбирать площадки, посещаемые потенциальными жертвами, а во втором – отправлять письма с вредоносными вложениями напрямую нужным сотрудникам компаний.

Вредоносное ПО RTM отслеживает появление в зараженной системе транспортного файла 1c_to_kl.txt. Его формирует программа «1С: Предприятие 8» для передачи платежного поручения из бухгалтерской системы в систему ДБО. Текстовый файл содержит детали исходящих платежей. Подменив реквизиты получателя, хакеры могут перевести средства компании на свои счета.

Схожие методы кражи средств использовала кибергруппировка Buhtrap, активная в 2014-2015 гг. Тем не менее, у этих групп различаются векторы заражения – в кампаниях Buhtrap чаще использовался фишинг. В прошлом атаки на российские системы ДБО практиковала кибергруппа Corkow.

Общее число обнаружений вредоносных программ семейства RTM невелико. С другой стороны, в кампании используются сложные кастомные инструменты, что свидетельствует о высокой таргетированности атак.

По оценке экспертов ESET, снизить риск кражи средств позволяет шифрование платежных поручений, двухфакторная аутентификация, антивирусная защита корпоративной сети, обучение персонала основам информационной безопасности.

Более подробная информация о киберкампании RTM, включая индикаторы заражения, представлена в отчете ESET.

Борис Мальцев 26 февр. 2017 г. в 23:00
фаундер Клерк.Ру

Аноним, ну полезная инфа там тоже есть. Вобщем мы посчитали эту инфу интересной
ВячеславЗ 26 февр. 2017 г. в 23:57

Вообще тема очень серьезная. Но все таки если уровень безопасности в компании нулевой, то это проблема все таки директора. Но свалит он её на бухгалтера. И тут нужно понимать что, есть случаи целенаправленного заражения.
AFKoni 27 февр. 2017 г. в 10:50

Если есть что у вас украсть -то это обязательно украдут сказал медвежатник еще сто лет назад. Сейф придуман человеком, человек и его же вскрывает что с ключом что без ключа. Так и все эти программы . И пока банк не будет отвечать за воровство у него рублем перед клиентом - Это и будет продолжаться ,любую защиту ,очередной программист обойдет. Банк должен отвечать и тогда такого воровства будут в разы меньше ,а совсем любое воровство не искоренить.