Quoter ransomware

El Quoter Ransomware es una nueva cepa de malware que se descubrió por primera vez como parte de las operaciones amenazantes del grupo de amenazas RTM de habla rusa. La inclusión de una amenaza de ransomware representa una evolución significativa de los piratas informáticos que anteriormente eran conocidos por confiar únicamente en su troyano bancario RTM. El troyano se entregó a través de correos electrónicos de phishing corruptos que pretendían llevar importantes documentos legales o corporativos. En cambio, cuando se ejecuta el archivo adjunto, coloca el troyano en la computadora de la víctima.

 La nueva campaña de ataque en curso del grupo RTM también pasa por las mismas etapas iniciales. Los piratas informáticos una vez más establecen un punto de apoyo dentro de la organización objetivo a través de correos electrónicos de phishing. Luego, se inicia el troyano RTM. La principal funcionalidad de la amenaza es intentar sustituir los detalles de la cuenta durante los pagos o las transacciones realizadas por la víctima. Si ese plan no tiene éxito, los ciberdelincuentes desatan el Quoter Ransomware para cifrar los archivos almacenados en el sistema comprometido. Si la organización afectada aún no está dispuesta a pagar, los piratas informáticos recurren al chantaje. Los piratas informáticos envían un correo electrónico a sus víctimas alegando haber obtenido información confidencial de los sistemas violados que se filtrará al público o se venderá en una subasta clandestina.

The Quoter Ransomware: rápido y extremadamente amenazador

 El análisis del recién descubierto Quoter Ransomware reveló que la amenaza es liviana y eficiente en sus tareas amenazantes. La amenaza se compiló utilizando la colección de compiladores GNU. Para su rutina de cifrado, Quoter utiliza el algoritmo criptográfico AES-256 indescifrable. Dentro del código de los archivos cifrados, los investigadores de infosec encontraron numerosas citas, que explican el nombre dado a la amenaza, incluidas varias de la Biblia.

 Si bien es bastante inusual que los colectivos de hackers vinculados a Rusia se dirijan a organizaciones con sede en Rusia, el grupo RTM lo ha hecho exactamente en su campaña en curso. Más de diez organizaciones rusas han sido identificadas como afectadas por ataques. Las entidades objetivo operan en los sectores del transporte y las finanzas. En promedio, los piratas informáticos de RTM exigen un rescate de $ 1 millón que se supone que debe pagarse en Bitcoin.