Хакеры из RTM атаковали российские банки и другие организации при помощи фейковых писем от лица госучреждений, сообщила в четверг международная компания Group-IB, специализирующаяся на предотвращении кибератак.

Как говорится в сообщении, злоумышленники отправили более 11 тыс. писем — все они содержали троян RTM, предназначенный для кражи денег из сервисов дистанционного банковского обслуживания и платежных систем. В среднем, одно успешное хищение такого типа приносит злоумышленникам около 1,1 млн рублей, отмечают в компании.

Рассылки по российским банкам, промышленным и транспортным компаниям начались 11 сентября — и продолжаются до сих пор. Пик пришелся на 24 и 27 сентября — преступники разослали 729 и 620 писем соответственно. Всего в сентябре было отправлено 3,2 тыс. писем, в октябре — 2,3 тыс., а в ноябре — 4,8 тыс. Только за первые несколько дней декабря было отправлено 784 вредоносных письма.

Рассылки проходили с 2,9 тыс. различных электронных адресов, однако у всех этих адресов, и все они были подделаны под адреса госучреждений. Среди госучреждений, от имени которых рассылались письма, — региональные управления Роспотребнадзора, Россельхознадзора, Ростехнадзора, Росприроднадзора, Министерства труда и соцразвития, УФСИН, прокуратуры и судов.

Письма были замаскированы под служебные документы — например, «Оплата август – сентябрь», «Копии документов», «Служебная записка», «Отправка на четверг», и другие. При этом темы писем и адрес отправителя меняются от рассылки к рассылке, отмечают эксперты.

Банковский троян RTM с 2016 г. используют хакеры из одноименной группировки. «Среди потенциальных жертв RTM — банки, до сих пор игнорирующие установку средств защиты от целевых атак хакерских групп, а также те, кто редко проверяет текущее состояние инфраструктуры на предмет обнаружения подозрительной активности внутри периметра банка», — пояснил руководитель департамента сетевой безопасности Group-IB Никита Кислицин.