Group IB: Хакеры из RTM атаковали банки, рассылая вирус через фейковые письма от госучреждений
Group-IB зафиксировала массовую вредоносную рассылку по финансовым учреждениям и предприятиям с 11 сентября. Злоумышленники отправляли с фейковых почтовых адресов российских госучреждений письма, содержащие троян RTM. Об этом Rusbase сообщили эксперты компании в сфере кибербезопасности Group-IB.
Вирус предназначен для кражи денег из сервисов дистанционного банковского обслуживания (ДБО) и платежных систем.
По данным Group-IB, в среднем одно успешное хищение такого типа приносит злоумышленникам около 1,1 млн рублей.
«Начиная с 11 сентября система Group-IB Threat Intelligence (киберразведка) фиксировала массовые рассылки по российским банкам, промышленным и транспортным компаниям: 3210 писем было отправлено в сентябре, 2311 — в октябре, в 4768 — в ноябре и 784 — в декабре», — уточнили в компании.
В общей сложности с сентября до начала декабря хакеры отправили 11 073 письма с 2 900 различных электронных адресов, подделанных под госучреждения. Рассылки шли «волнами», пик пришелся на 24 и 27 сентября — 729 и 620 писем соответственно.
Среди «отправителей» указываются региональные управления Роспотребнадзора, Россельхознадзора, Ростехнадзора, Росприроднадзора, Министерства труда и соцразвития, УФСИН, прокуратуры, судов и другие.
В настоящее время вредоносные рассылки продолжаются, добавили эксперты.
Фальшивые письма, не имеющие отношения к деятельности госорганизаций, маскировались под служебные документы, например: «Оплата август-сентябрь», «Копии документов», «Служебная записка», «Отправка на четверг» и другое.
Темы сообщений и адрес отправителя постоянно меняются, подчеркнули в Group-IB.
Каждое письмо содержит вредоносное вложение, представляющее собой архив с исполняемым файлом. Распакованные файлы имеют фейковые иконки «PDF», после запуска извлеченного из архива файла происходит заражение компьютера
«Среди потенциальных жертв RTM — банки, до сих пор игнорирующие установку средств защиты от целевых атак хакерских групп, а также те, кто редко проверяет текущее состояние инфраструктуры на предмет обнаружения подозрительной активности внутри периметра банка», — отметил руководитель департамента сетевой безопасности Group-IB Никита Кислицин.
Опасность подобных атак также в том, что они могут быть «долгоиграющими» — случалось, что вредоносная программа эксплуатировалась злоумышленниками до полугода, оставаясь незамеченной для банка, добавили в компании.
Троян RTM принадлежит одноименной русскоязычной хакерской группе, которая использует вирус с 2016 года для организации таргетированных атак на различные организации и банки.
- 1 40 задержанных мошенников и 700 заблокированных аккаунтов — мессенджер MAX опубликовал итоги 2025 года Мессенджер MAX подвёл итоги 2025-го по безопасности сервиса 25 декабря 2025, 19:30
- 2 Фальшивый «Тайный Санта» и «икра от производителя»: какие схемы используют мошенники перед Новым годом — 2026 Названы популярные схемы мошенников перед Новым годом — 2026 24 декабря 2025, 12:25
- 3 Количество спама в электронной почте уменьшилось вдвое: Яндекс снизил долю вредоносных писем с 25% до 18% Яндекс: с помощью ИИ количество спама в почте снизили вдвое 19 декабря 2025, 17:40
- 4 Яндекс внедрил ИИ-агента для поиска уязвимостей в коде — теперь проверка безопасности занимает минуты ИИ от Яндекса помогает искать уязвимости в компьютерном коде 16 декабря 2025, 15:00