Kaspersky Labsは、サイバー犯罪者がおもにロシア国内において中堅・中小企業を積極的に狙っており、中でも、会計士がターゲットになっていると公式ブログに掲載している。

Cybercrime is focusing on accountants(Kaspersky lab<a href="https://www.kaspersky.com/blog/financial-trojans-2019/25690/amp/" target="_blank">公式ブログ</a>より)

Cybercrime is focusing on accountants(Kaspersky lab公式ブログより)

執筆者のPavel Shoshin氏は、この行動は極めて論理的だ。財務情報に直接アクセスできるからだとBuhtrap、RTMといったトロイの木馬の増加を指摘、詳細を解説している。BuhtrapとRTMは機能と拡散方法が異なるが、企業の会計士からお金を盗むという同じ目的を持っており、財務セクターの企業と比較するとセキュリティの予算が少ないIT、法務サービス、小規模な製造業などがターゲットになっているという。

RTMはよくあるビジネスメールを模倣したフィッシングメールが使われ"返信お願いします" "先月の書類のコピー" "支払い請求"などの言葉が含まれており、リンクをクリックしたり、添付ファイルを開くことで感染。これにより運営者は感染したシステムにアクセスできるようになる。2017年のKasperskyのシステムでは2,376人のユーザーがRTMに感染していることを確認し、2018年、ターゲットは13万人に拡大し、2019年に入ってわずか2ヶ月ですでに3万人が感染している。ほとんどがロシアをターゲットにしたものだが、Kasperskyは今後他の国のユーザーにも拡大すると予想している。

一方のBuhtrapは2014年に当時のロシア財務機関からお金を盗んでいたサイバー犯罪グループの名前にちなんで名付けられている。2016年にツールのソースコードが公開され、財務分野のトロイの木馬の名前として使われるようになり、2017年初め、再浮上し、ニュースサイトのメインページにスクリプトを埋め込むことで拡散。攻撃者はターゲットを絞り込み、中小規模企業の会計担当など特定グループに絞りこんだWebサイトを作成している。2018年後半に急増し、Kasperskyの保護システムは累計で5,000件以上の攻撃を阻止したが、そのうちの250件は2019年に入ってからだという。

BuhtrapもRTMも、感染してしまうと、犯罪者が感染したワークステーションにサイバー犯罪者はアクセスし、会計担当と銀行システムの間でデータのやり取りに使うファイルを改変できてしまう。Kasperskyではこのような動きを警告し、中小規模企業の会計担当や幹部のコンピューターが保護されているかどうか細心の注意を払うように推奨しているそうだ。