Пока количество атак шифровальщиков на критически важную инфраструктуру продолжает расти, исследователи в области кибербезопасности обнаружили нового участника, который активно пытается проводить многоэтапные атаки на крупные корпоративные сети медицинских учреждений, банков, производителей и разработчиков программного обеспечения в России.
Группировка вымогателей под кодовым названием «OldGremlin», которую считают русскоязычной хакерской командой, была связана с серией кампаний, начиная с марта 2020, включая успешную атаку на лабораторию клинической диагностики, которая произошла 11 августа.
«Пока что целью группы были только российские компании, что характерно для многих русскоязычных злоумышленников, таких как группы «Silence» или «Cobalt» в начале их деятельности», - говорится в опубликованном сегодня докладе сингапурской фирмы Group-IB, занимающейся вопросами кибербезопасности.
«Используя Россию в качестве полигона, эти группы затем переключаются на другие регионы, чтобы дистанцироваться от преследования полиции страны-жертвы и снизить шансы попасть за решетку».
Модус операнди «OldGremlin» предполагает использование пользовательских бэкдоров - таких как TinyNode и TinyPosh - для загрузки вредоносного ПО. Конечной целью является шифрование файлов в зараженной системе с помощью программы выкупа TinyCryptor (также известной как decr1pt) и требование выкупа на сумму около $50,000.
Кроме того, злоумышленники пытаются проникать в сеть жертвы через фишинговые письма, отправленные от имени крупнейшей московской медиа-группы «РБК-Групп» с пометкой «Счет-фактура» в теме.
Фишинговое письмо информирует получателя о невозможности связаться с коллегой жертвы в связи с экстренной оплатой счета вместе с вредоносной ссылкой для «оплаты», которая при нажатии загружает вредоносную программу TinyNode.
Отыскав точку входа, злоумышленники организуют удаленный доступ к зараженному компьютеру, используя его для дальнейшего развития атаки в сети с помощью Cobalt Strike и сбора аутентификационных данных администратора домена.
В другом варианте атаки, зафиксированном в марте-апреле, злоумышленники использовали фишинговые приманки на тему COVID-19 для атак на финансовые предприятия и маскировались под российскую микрофинансовую организацию для внедрения трояна TinyPosh.
19 августа была обнаружена отдельная волна атак, когда киберпреступники разослали фишинговые сообщения используя тему продолжающихся в Белоруссии акций протеста, в очередной раз доказав, что хакеры отлично умеют использовать громкие мировые события в свою пользу.
В целом, в период с мая по август «OldGremlin» стоял за девятью кампаниями.
«Что отличает «OldGremlin» от других русскоязычных участников угроз - это их «бесстрашная» работа в России», - сообщает Олег Скулькин, старший эксперт Group-IB по цифровой криминалистике.
Это указывает на то, что злоумышленники либо оттачивают свои методы, извлекая выгоду из преимущества знания домашнего рынка, прежде чем стать глобальными, как это было в случае с «Silence» и «Cobalt», либо они являются представителями соседних России государств, где хорошо владеют русским языком».
Перевод сделан со статьи https://thehackernews.com