Система сбора данных о кибер-угрозах Group-IB определила новую атаку кибер-группы OldGremlin на компанию, связанную с медициной в России. Киберпреступники получили доступ ко всей ее сети и успешно зашифровали. Требование – 50000 долларов в качестве выкупа.
Злоумышленники из OldGremlin – это группировка русскоязычных хакеров, нападающих только на организации РФ. Их жертвами могут стать организации из финансового, промышленного, медицинского и софтверного сегмента.
Group-IB рассказывает, что за этот год, начиная со второго квартала группа злоумышленников провела минимум девять нападок по email-рассылке от имени саморегулируемой организации «Микрофинансирование и Развитие», промышленно-металлургического холдинга, Минского тракторного завода, РБК и прочих известных компаний.
Специалисты Group-IB Threat Intelligence расследовали этот инцидент и в августе стали известны некоторые детали успешной хакерской атаки OldGremlin. Крупная медицинская компания с сетью филиалов по регионам стала жертвой группы хакеров.
Детали хакерской атаки OldGremlin
Начало атаки – фишинговые письма, написанные под маской медиахолдинга РБК. Благодаря самописному бэкдору TinyNode, выполнявшему опцию начального загрузчика, злоумышленники смогли скачать и запустить остальной вирусный софт. Запущенный программный комплекс помог установить удаленный доступ к зараженному ПК. Подготовленный к сбору данных и разведки, «завербованный» ПК подготовил почву для последующего сетевого продвижения.
По прошествии 2-3 недель OldGremlin, полностью получив доступ к «сети», удалила копии backup-данных с серверов, чтобы медицинская компания не сумела «откатится» и восстановить штатный режим работы. В выходной день за пару часов был распространен вирус TinyCryptor, который распространился на всю сеть организации и зашифровал данные на рабочих ПК.
Результат налицо – работа всех подразделений организации встала. Чтобы продолжить работать в штатном режиме киберпреступники запросили от компании 50 тысяч долларов. Естественно, эквивалент на криптовалютный счет.
Кто такие OldGremlin?
Отмечается, что OldGremlin – это единичная в своем роде русскоязычная группировка, делающая структурированные, продуманные атаки на банки и компании РФ, применяя сложные тактики и техники для хакинга и шифрования данных. И это они проделывают, не смотря на негласное правило «не работать по РУ».
Если провести аналогию с другими группами, «работающими» с иностранными целями, OldGremlin классифицируется по рубрике «Охота на крупную дичь», объединяющая операторов шифровальщиков, работающих с крупной наживой.
Основным инструментом группировки были фишинговые письма, по подход к каждой из компаний-жертв был принципиально разным:
- В начале апреля они начали использовать тему COVID-19;
- Затем качественно подделали рассылки от знакомых всем организаций;
- С конца августа они воспользовались новой приманкой – «белорусскими протестами» и уже организовывали рассылки от имени ОАО МТЗ.
Благо, множество опасных писем были выявлены детектированием сложных кибератак (TDS) Group-IB.
Руководитель направления по исследованию угроз Group-IB в Европе, Рустам Миркасымов, дал комментарий:
Поскольку между противостоящими киберпреступникам компаниями нет налаженного канала связи, да и политические напряженности в мире вносят свою лепту, это выявляется в формирование преступных организаций, способных творить мошеннические действия и чувствовать себя комфортно и безопасно. Также, подобные нападки допускаются из-за отсутствия защитных мер у бизнеса по своевременной идентификации и устранению вирусного программного обеспечения.