OldGremlin нападает на крупные компании и банки России

OldGremlin

Система сбора данных о кибер-угрозах Group-IB определила новую атаку кибер-группы OldGremlin на компанию, связанную с медициной в России. Киберпреступники получили доступ ко всей ее сети и успешно зашифровали. Требование – 50000 долларов в качестве выкупа.

Злоумышленники из OldGremlin – это группировка русскоязычных хакеров, нападающих только на организации РФ. Их жертвами могут стать организации из финансового, промышленного, медицинского и софтверного сегмента.

Group-IB рассказывает, что за этот год, начиная со второго квартала группа злоумышленников провела минимум девять нападок по email-рассылке от имени саморегулируемой организации «Микрофинансирование и Развитие», промышленно-металлургического холдинга, Минского тракторного завода, РБК и прочих известных компаний.

Специалисты Group-IB Threat Intelligence расследовали этот инцидент и в августе стали известны некоторые детали успешной хакерской атаки OldGremlin. Крупная медицинская компания с сетью филиалов по регионам стала жертвой группы хакеров.

Детали хакерской атаки OldGremlin

Начало атаки – фишинговые письма, написанные под маской медиахолдинга РБК. Благодаря самописному бэкдору TinyNode, выполнявшему опцию начального загрузчика, злоумышленники смогли скачать и запустить остальной вирусный софт. Запущенный программный комплекс помог установить удаленный доступ к зараженному ПК. Подготовленный к сбору данных и разведки, «завербованный» ПК подготовил почву для последующего сетевого продвижения.

По прошествии 2-3 недель OldGremlin, полностью получив доступ к «сети», удалила копии backup-данных с серверов, чтобы медицинская компания не сумела «откатится» и восстановить штатный режим работы. В выходной день за пару часов был распространен вирус TinyCryptor, который распространился на всю сеть организации и зашифровал данные на рабочих ПК.

Результат налицо – работа всех подразделений организации встала. Чтобы продолжить работать в штатном режиме киберпреступники запросили от компании 50 тысяч долларов. Естественно, эквивалент на криптовалютный счет.

Кто такие OldGremlin?

Отмечается, что OldGremlin – это единичная в своем роде русскоязычная группировка, делающая структурированные, продуманные атаки на банки и компании РФ, применяя сложные тактики и техники для хакинга и шифрования данных. И это они проделывают, не смотря на негласное правило «не работать по РУ».

Если провести аналогию с другими группами, «работающими» с иностранными целями, OldGremlin классифицируется по рубрике «Охота на крупную дичь», объединяющая операторов шифровальщиков, работающих с крупной наживой.

Основным инструментом группировки были фишинговые письма, по подход к каждой из компаний-жертв был принципиально разным:

  • В начале апреля они начали использовать тему COVID-19;
  • Затем качественно подделали рассылки от знакомых всем организаций;
  • С конца августа они воспользовались новой приманкой – «белорусскими протестами» и уже организовывали рассылки от имени ОАО МТЗ.

Благо, множество опасных писем были выявлены детектированием сложных кибератак (TDS) Group-IB.

OldGremlin

Руководитель направления по исследованию угроз Group-IB в Европе, Рустам Миркасымов, дал комментарий:

Поскольку между противостоящими киберпреступникам компаниями нет налаженного канала связи, да и политические напряженности в мире вносят свою лепту, это выявляется в формирование преступных организаций, способных творить мошеннические действия и чувствовать себя комфортно и безопасно. Также, подобные нападки допускаются из-за отсутствия защитных мер у бизнеса по своевременной идентификации и устранению вирусного программного обеспечения.

0 0 голоса
Оценка статьи
Подписаться
Уведомить о
guest

0 Комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии
Этот сайт использует куки для улучшения вашего просмотра. Ваши личные данные находятся в безопасности