Новая группа программ-вымогателей нацелена на крупные корпоративные сети, используя самодельные бэкдоры и вредоносное ПО для шифрования файлов на начальной и конечной стадиях атаки.
Исследователи отслеживают банду по кодовому имени OldGremlin. Их кампании, похоже, начались в конце марта и пока не получили глобального распространения.
Атаки, приписываемые этой группе, были выявлены только в России, но есть сильные подозрения, что OldGremlin в настоящее время работает в меньшем масштабе, чтобы отточить свои инструменты и методы, прежде чем выйти на мировой уровень.
Индивидуальные инструменты, творческий фишинг
OldGremlin использует специальные бэкдоры (TinyPosh и TinyNode) и программы-вымогатели (TinyCrypt, также известные как decr1pt) вместе со сторонним программным обеспечением для разведки и бокового движения (Cobalt Strike, скриншот командной строки, Mail PassView от NirSoft для восстановления пароля электронной почты).
Банда не требовательна к жертвам, поскольку они являются крупными предприятиями в России (медицинские лаборатории, банки, производители, разработчики программного обеспечения), что указывает на то, что она состоит из русскоязычных членов.
Злоумышленник начинает свои атаки с целевых фишинговых писем, которые предоставляют настраиваемые инструменты для первоначального доступа. Они используют действительные имена для адреса отправителя, выдавая себя за известных людей.
Исследователи из сингапурской компании по кибербезопасности Group-IB говорят, что во время одной из атак на банк OldGremlin разослал электронное письмо под предлогом организации интервью с журналистом популярной деловой газеты.
Фальшивый журналист назначил встречу с помощью приложения-календаря, а затем связался с жертвой, предоставив ссылку на предполагаемые вопросы интервью, размещенные в онлайн-хранилище. При нажатии на ссылку загружается бэкдор TinyPosh.
В другой атаке, направленной на клиническую лабораторию, актер выдал себя за «РосБизнесКонсалтинг» (РБК), крупный медиахолдинг в России, у которого возникли проблемы с оплатой медицинских услуг.
Похоже, они хорошо разбираются в социальной инженерии и пользуются текущими событиями, чтобы повысить надежность своего фишинга.
Например, 19 августа они представились генеральным директором Минского тракторного завода, проинформировав российских партнеров о том, что компания находится под следствием на предмет участия в антиправительственных акциях протеста в Беларуси, и попросили у них документы, требуемые прокуратурой.
Стоит отметить, что имя, используемое для адреса отправителя, не является фактическим генеральным директором завода. В рамках этой кампании было отправлено не менее 50 сообщений.
Цель состоит в том, чтобы закрепиться в сети целевой организации через один из двух бэкдоров (TinyNode или TinyPosh), которые позволяют расширить атаку с помощью дополнительных модулей, загружаемых с их сервера управления и контроля (C2). Протокол удаленного рабочего стола также используется для перехода к другим системам в сети.
Проведя некоторое время в сети, идентифицируя ценные системы, злоумышленник развертывает процедуру шифрования файлов. В случае с медицинской лабораторией злоумышленник получил учетные данные администратора домена и создал резервную учетную запись с такими же повышенными привилегиями для сохранения устойчивости в случае блокировки первоначальной.
OldGremlin перешла на этап шифрования через несколько недель после первоначального доступа, удалив резервные копии серверов и заблокировав сотни компьютеров в корпоративной сети.
В записке с требованием выкупа было запрошено около 50 000 долларов в криптовалюте за ключ дешифрования и предоставлен адрес электронной почты Proton для связи.
В общей сложности Group-IB обнаружила несколько атак, приписываемых OldGremlin, в период с мая по август 2020 года, все против целей в России, сообщил Group-IB BleepingComputer.
Эта тактика отличает группу от других участников угроз и ранее была замечена с финансово мотивированными группами Silence и Cobalt, которые также проводили небольшие операции в России и перед тем, как перейти к целям за пределами страны и за пределами бывшего советского пространства.
Как правило, российские хакеры избегают атак на организации в России и странах бывшего Советского Союза. Несколько крупных групп программ-вымогателей и злоумышленников категорически против этого.
«Это указывает на то, что злоумышленники либо оттачивают свою технику, используя домашнее преимущество перед тем, как выйти на глобальный уровень, как это было в случае с Silence и Cobalt, либо они являются представителями некоторых соседей России, которые хорошо владеют русским языком», - Олег Скулкин, старший аналитик по цифровой криминалистике Group-IB
Скулкин говорит, что OldGremlin - единственный русскоязычный агент-вымогатель, который игнорирует это правило, и что их тактика и методы аналогичны тем, что используются передовыми хакерскими группами.
В своем сегодняшнем сообщении в блоге Group-IB предоставляет список индикаторов взлома OldGremlin, а также подробную информацию о тактике, методах и процедурах, наблюдаемых ниже в атаках, приписываемых этой новой группе.
перевод с английского - Google
Исследователи отслеживают банду по кодовому имени OldGremlin. Их кампании, похоже, начались в конце марта и пока не получили глобального распространения.
Атаки, приписываемые этой группе, были выявлены только в России, но есть сильные подозрения, что OldGremlin в настоящее время работает в меньшем масштабе, чтобы отточить свои инструменты и методы, прежде чем выйти на мировой уровень.
Индивидуальные инструменты, творческий фишинг
OldGremlin использует специальные бэкдоры (TinyPosh и TinyNode) и программы-вымогатели (TinyCrypt, также известные как decr1pt) вместе со сторонним программным обеспечением для разведки и бокового движения (Cobalt Strike, скриншот командной строки, Mail PassView от NirSoft для восстановления пароля электронной почты).
Банда не требовательна к жертвам, поскольку они являются крупными предприятиями в России (медицинские лаборатории, банки, производители, разработчики программного обеспечения), что указывает на то, что она состоит из русскоязычных членов.
Злоумышленник начинает свои атаки с целевых фишинговых писем, которые предоставляют настраиваемые инструменты для первоначального доступа. Они используют действительные имена для адреса отправителя, выдавая себя за известных людей.
Исследователи из сингапурской компании по кибербезопасности Group-IB говорят, что во время одной из атак на банк OldGremlin разослал электронное письмо под предлогом организации интервью с журналистом популярной деловой газеты.
Фальшивый журналист назначил встречу с помощью приложения-календаря, а затем связался с жертвой, предоставив ссылку на предполагаемые вопросы интервью, размещенные в онлайн-хранилище. При нажатии на ссылку загружается бэкдор TinyPosh.
В другой атаке, направленной на клиническую лабораторию, актер выдал себя за «РосБизнесКонсалтинг» (РБК), крупный медиахолдинг в России, у которого возникли проблемы с оплатой медицинских услуг.
Похоже, они хорошо разбираются в социальной инженерии и пользуются текущими событиями, чтобы повысить надежность своего фишинга.
Например, 19 августа они представились генеральным директором Минского тракторного завода, проинформировав российских партнеров о том, что компания находится под следствием на предмет участия в антиправительственных акциях протеста в Беларуси, и попросили у них документы, требуемые прокуратурой.
Стоит отметить, что имя, используемое для адреса отправителя, не является фактическим генеральным директором завода. В рамках этой кампании было отправлено не менее 50 сообщений.
Цель состоит в том, чтобы закрепиться в сети целевой организации через один из двух бэкдоров (TinyNode или TinyPosh), которые позволяют расширить атаку с помощью дополнительных модулей, загружаемых с их сервера управления и контроля (C2). Протокол удаленного рабочего стола также используется для перехода к другим системам в сети.
Проведя некоторое время в сети, идентифицируя ценные системы, злоумышленник развертывает процедуру шифрования файлов. В случае с медицинской лабораторией злоумышленник получил учетные данные администратора домена и создал резервную учетную запись с такими же повышенными привилегиями для сохранения устойчивости в случае блокировки первоначальной.
OldGremlin перешла на этап шифрования через несколько недель после первоначального доступа, удалив резервные копии серверов и заблокировав сотни компьютеров в корпоративной сети.
В записке с требованием выкупа было запрошено около 50 000 долларов в криптовалюте за ключ дешифрования и предоставлен адрес электронной почты Proton для связи.
В общей сложности Group-IB обнаружила несколько атак, приписываемых OldGremlin, в период с мая по август 2020 года, все против целей в России, сообщил Group-IB BleepingComputer.
Эта тактика отличает группу от других участников угроз и ранее была замечена с финансово мотивированными группами Silence и Cobalt, которые также проводили небольшие операции в России и перед тем, как перейти к целям за пределами страны и за пределами бывшего советского пространства.
Как правило, российские хакеры избегают атак на организации в России и странах бывшего Советского Союза. Несколько крупных групп программ-вымогателей и злоумышленников категорически против этого.
«Это указывает на то, что злоумышленники либо оттачивают свою технику, используя домашнее преимущество перед тем, как выйти на глобальный уровень, как это было в случае с Silence и Cobalt, либо они являются представителями некоторых соседей России, которые хорошо владеют русским языком», - Олег Скулкин, старший аналитик по цифровой криминалистике Group-IB
Скулкин говорит, что OldGremlin - единственный русскоязычный агент-вымогатель, который игнорирует это правило, и что их тактика и методы аналогичны тем, что используются передовыми хакерскими группами.
В своем сегодняшнем сообщении в блоге Group-IB предоставляет список индикаторов взлома OldGremlin, а также подробную информацию о тактике, методах и процедурах, наблюдаемых ниже в атаках, приписываемых этой новой группе.
перевод с английского - Google