Quoter Ransomware
O Quoter Ransomware é um novo tipo de malware que foi descoberto pela primeira vez como parte das operações ameaçadoras do grupo de ameaças RTM de língua russa. A inclusão de uma ameaça de ransomware representa uma evolução significativa dos hackers que antes eram conhecidos por depender exclusivamente de seu RTM Banking Trojan. O Trojan foi entregue por meio de e-mails de phishing corrompidos, que fingiam transportar documentos jurídicos ou corporativos importantes. Em vez disso, quando o arquivo anexado é executado, ele coloca o Trojan no computador da vítima.
A nova campanha de ataque em andamento pelo grupo RTM também passa pelos mesmos estágios iniciais. Os hackers mais uma vez estabelecem uma posição segura dentro da organização visada por meio de e-mails de phishing. Em seguida, o Trojan RTM é iniciado. A principal funcionalidade da ameaça é tentar substituir os detalhes da conta durante os pagamentos ou transações realizadas pela vítima. Se esse plano falhar, os cibercriminosos liberam o Quoter Ransomware para criptografar os arquivos armazenados no sistema comprometido. Se a organização afetada ainda não deseja pagar, os hackers recorrem à chantagem. Os hackers enviam um e-mail para suas vítimas alegando ter obtido informações confidenciais dos sistemas violados que serão vazadas para o público ou vendidas em um leilão clandestino.
O Quoter Ransomware - Rápido e Extremamente Ameaçador
A análise do recém-descoberto Quoter Ransomware revelou que a ameaça é leve e eficiente em suas tarefas ameaçadoras. A ameaça foi compilada usando a GNU Compiler Collection. Para sua rotina de criptografia, Quoter usa o algoritmo criptográfico AES-256 intransponível. Dentro do código dos arquivos criptografados, os pesquisadores da infosec encontraram inúmeras citações, que explicam o nome dado à ameaça, incluindo várias da Bíblia.
Embora seja bastante incomum que grupos de hackers ligados à Rússia visem organizações sediadas na Rússia, o grupo RTM fez exatamente isso em sua campanha em andamento. Mais de dez organizações russas foram identificadas como atingidas por ataques. As entidades visadas operam nos setores de transporte e finanças. Em média, os hackers da RTM exigem um resgate de US $1 milhão, que deve ser pago em Bitcoin.
