Rambler's Top100
Реклама
 
Все новости Новости отрасли

Операторы шифровальщика OldGremlin атакуют крупные компании и банки России

23 сентября 2020

Group-IB зафиксировала успешную атаку преступной группы OldGremlin на российскую медицинскую компанию — злоумышленники полностью зашифровали ее корпоративную сеть и потребовали выкуп в $50 000. Несмотря на негласный запрет в среде киберпреступников «не работать по РУ», OldGremlin, состоящая из русскоязычных хакеров, активно атакует исключительно российские компании — банки, промышленные предприятия, медицинские организации и разработчиков софта. 

Начиная с весны этого года, OldGremlin, по оценкам экспертов Group-IB, провела как минимум 9 кампаний по рассылке вредоносных писем якобы от имени Союза микрофинансовых организаций “МиР”, российского металлургического холдинга, белорусского завода “МТЗ”, стоматологической клиники, медиахолдинга РБК и др.  

В августе этого года в ходе исследования инцидента специалистами Group-IB Threat Intelligence cтали известны подробности удачной атаки преступной группы, получившей название OldGremlin. Жертвой хакеров стала крупная медицинская компания с сетью региональных филиалов. Атака началась с вредоносной рассылки — фишингового письма, написанного якобы от медиахолдинга РБК.

Как установили в Group-IB, на первоначальном этапе атакующие использовали уникальный самописный бэкдор TinyNode, выполняющий функцию первичного загрузчика, который позволяет скачивать и запускать другие вредоносные программы. С его помощью злоумышленники получили удаленный доступ к зараженному компьютеру жертвы, который выступал в качестве плацдарма для разведки, сбора данных и дальнейшего продвижения по сети организации. Как и многие другие группы, для эффективной пост-эксплуатации OldGremlin использовали инструмент для пентестов Cobalt Strike Beacon. 

Спустя несколько недель после начала атаки злоумышленники удалили резервные копии организации для того, чтобы лишить ее возможности восстановления данных. С того же сервера в один из выходных дней за несколько часов они распространили свой вирус-шифровальщик TinyCryptor на сотни компьютеров корпоративной сети. В результате атаки работа региональных подразделений компании была парализована — за расшифровку данных злоумышленники потребовали $50 000 в криптовалюте. 

“OldGremlin — это единственная на данный момент активная русскоязычная группа-оператор шифровальщика, которая несмотря на негласный запрет «работает по РУ» и совершает многоступенчатые целевые атаки на российские компании и банки, используя сложные, как у APT, тактики и техники, — отмечает Олег Скулкин, ведущий специалист Лаборатории компьютерной криминалистики Group-IB. — По аналогии с группами, которые “работают” по иностранным целям, OldGremlin можно отнести к категории Big Game Hunting (Охота на крупную дичь), которая объединяет операторов вирусов-шифровальщиков, нацеленных на  крупную добычу”. 

Первая атака OldGremlin, по данным Group-IB Threat Intelligence, была зафиксирована в конце марта — начале апреля 2020 года. Используя актуальную тему с COVID-19, злоумышленники от имени Союза микрофинансовых организаций “МиР" разослали по финансовым организациям рекомендации по обеспечению безопасной работы в период пандемии. Именно тогда впервые атакующими был использован другой самописный бэкдор — TinyPosh, который также по команде управляющего сервера позволяет скачивать и запускать другие вредоносные программы. Вторая атака с его участием произошла 24 апреля — схема была примерно та же, что и в первый раз, но отправителем выступала стоматологическая клиника.

Две недели спустя OldGremlin решили сменить тактику. Они подготовили фейковое письмо от имени российской журналистки РБК, которая якобы приглашала получателей принять участие в «Всероссийском исследовании банковского и финансового сектора во время пандемии коронавируса». “Журналистка” назначала потенциальной жертве (банку) 30-минутное интервью — специально для проведения атаки хакеры создали календарь, в котором и назначали встречу жертве. В отличие от первых писем, сообщение от корреспондента РБК было довольно точно подделано под рассылку медиахолдинга и написано хорошим русским языком. Как и в первых почтовых рассылках, открытие ссылки в письме приводило к тому, что на машину жертвы загружался троян.

После непродолжительных “каникул” группа снова выходит на “охоту” — 13 и 14 августа 2020 CERT-GIB зафиксировал две масштабных рассылки вредоносных писем, но на этот раз от имени металлургической компании и вновь от РБК. За двое суток преступники разослали около 250 писем, нацеленных на российские компании из финансовой и производственной отраслей.

Уже через несколько дней киберпреступники меняют письмо-приманку, взяв на вооружение главную тему русскоязычных СМИ —  белорусские протесты. Утром 19 августа команда CERT-GIB зафиксировала вредоносную рассылку по российским финансовым организациям от имени “Минского Тракторного Завода” (ОАО МТЗ). «Увы, порядка недели назад в МТЗ Холдинг нагрянула проверка прокуратуры. Понятное дело, эти события происходят потому, что мы объявили забастовку Лукашенко», писали авторы письма и просили получателей перейти по ссылке, скачать архив и прислать недостающие документы для проверки. На самом деле, после попытки открытия приложенного к письму файла на компьютер загружается и устанавливается все та же вредоносная программа — бэкдор TinyPosh. Опасные письма — всего их было более полусотни —  выявила и нейтрализовала система предотвращения сложных киберугроз Threat Detection System (TDS) Group-IB. 

“Отсутствие прочного канала связи между организациями, противостоящими киберпреступности, а также сложная политическая ситуация приводят к появлению новых преступных групп, чувствующих себя в безопасности, — уверен Рустам Миркасымов, руководитель направления Threat Research в Европе, Group-IB — Еще одним фактором, позволяющим киберпреступникам, зарабатывать на выкупе, является недооценка угрозы со стороны бизнеса и отсутствие средств защиты, позволяющих вовремя идентифицировать и нейтрализовать шифровальщика”.

Источник: Group-IB

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.

Продолжение использования сайта пользователем интерпретируется как согласие на обработку фрагментов персональных данных (таких, как cookies) для целей корректной работы сайта.

Согласен