Компании сообщаютНовости компаний

OldGremlin атакует крупные компании и банки России

| 23.09.2020

Group-IB зафиксировала успешную атаку преступной группы OldGremlin на российскую медицинскую компанию — злоумышленники полностью зашифровали ее корпоративную сеть и потребовали выкуп в $50 000.

Несмотря на негласный запрет в среде киберпреступников «не работать по РУ», OldGremlin, состоящая из русскоязычных хакеров, активно атакует исключительно российские компании — банки, промышленные предприятия, медицинские организации и разработчиков софта.

Начиная с весны этого года, OldGremlin, по оценкам экспертов Group-IB, провела как минимум 9 кампаний по рассылке вредоносных писем якобы от имени Союза микрофинансовых организаций “МиР”, российского металлургического холдинга, белорусского завода “МТЗ”, стоматологической клиники, медиахолдинга РБК и др.

В августе этого года в ходе исследования инцидента специалистами Group-IB Threat Intelligence cтали известны подробности удачной атаки преступной группы, получившей название OldGremlin. Жертвой хакеров стала крупная медицинская компания с сетью региональных филиалов. Атака началась с вредоносной рассылки — фишингового письма, написанного якобы от медиахолдинга РБК.

На первоначальном этапе атакующие использовали уникальный самописный бэкдор TinyNode, выполняющий функцию первичного загрузчика, который позволяет скачивать и запускать другие вредоносные программы. С его помощью злоумышленники получили удаленный доступ к зараженному компьютеру жертвы, который выступал в качестве плацдарма для разведки, сбора данных и дальнейшего продвижения по сети организации. Как и многие другие группы, для эффективной пост-эксплуатации OldGremlin использовали инструмент для пентестов Cobalt Strike Beacon.

Спустя несколько недель после начала атаки злоумышленники удалили резервные копии организации для того, чтобы лишить ее возможности восстановления данных. С того же сервера в один из выходных дней за несколько часов они распространили свой вирус-шифровальщик TinyCryptor на сотни компьютеров корпоративной сети. В результате атаки работа региональных подразделений компании была парализована — за расшифровку данных злоумышленники потребовали $50 000 в криптовалюте.

“OldGremlin — это единственная на данный момент активная русскоязычная группа-оператор шифровальщика, которая несмотря на негласный запрет «работает по РУ» и совершает многоступенчатые целевые атаки на российские компании и банки, используя сложные, как у APT, тактики и техники, — отмечает Олег Скулкин, ведущий специалист Лаборатории компьютерной криминалистики Group-IB. — По аналогии с группами, которые “работают” по иностранным целям, OldGremlin можно отнести к категории Big Game Hunting (Охота на крупную дичь), которая объединяет операторов вирусов-шифровальщиков, нацеленных на крупную добычу”.

img

Первая атака OldGremlin, по данным Group-IB Threat Intelligence, была зафиксирована в конце марта — начале апреля 2020 г. Используя актуальную тему с COVID-19, злоумышленники от имени Союза микрофинансовых организаций “МиР" разослали по финансовым организациям рекомендации по обеспечению безопасной работы в период пандемии. Именно тогда впервые атакующими был использован другой самописный бэкдор — TinyPosh, который также по команде управляющего сервера позволяет скачивать и запускать другие вредоносные программы. Вторая атака с его участием произошла 24 апреля — схема была примерно та же, что и в первый раз, но отправителем выступала стоматологическая клиника.

Две недели спустя OldGremlin решили сменить тактику. Они подготовили фейковое письмо от имени российской журналистки РБК, которая якобы приглашала получателей принять участие в «Всероссийском исследовании банковского и финансового сектора во время пандемии коронавируса». “Журналистка” назначала потенциальной жертве (банку) 30-минутное интервью — специально для проведения атаки хакеры создали календарь, в котором и назначали встречу жертве. В отличие от первых писем, сообщение от корреспондента РБК было довольно точно подделано под рассылку медиахолдинга и написано хорошим русским языком. Как и в первых почтовых рассылках, открытие ссылки в письме приводило к тому, что на машину жертвы загружался троян.

После непродолжительных “каникул” группа снова выходит на “охоту” — 13 и 14 августа 2020 г. CERT-GIB зафиксировал две масштабных рассылки вредоносных писем, но на этот раз от имени металлургической компании и вновь от РБК. За двое суток преступники разослали около 250 писем, нацеленных на российские компании из финансовой и производственной отраслей.

Уже через несколько дней киберпреступники меняют письмо-приманку, взяв на вооружение главную тему русскоязычных СМИ — белорусские протесты. Утром 19 августа команда CERT-GIB зафиксировала вредоносную рассылку по российским финансовым организациям от имени “Минского Тракторного Завода” (ОАО МТЗ). «Увы, порядка недели назад в МТЗ Холдинг нагрянула проверка прокуратуры. Понятное дело, эти события происходят потому, что мы объявили забастовку Лукашенко», писали авторы письма и просили получателей перейти по ссылке, скачать архив и прислать недостающие документы для проверки. На самом деле, после попытки открытия приложенного к письму файла на компьютер загружается и устанавливается все та же вредоносная программа — бэкдор TinyPosh. Опасные письма — всего их было более полусотни — выявила и нейтрализовала система предотвращения сложных киберугроз Threat Detection System (TDS) Group-IB.

“Отсутствие прочного канала связи между организациями, противостоящими киберпреступности, а также сложная политическая ситуация приводят к появлению новых преступных групп, чувствующих себя в безопасности, — уверен Рустам Миркасымов, руководитель направления Threat Research в Европе, Group-IB — Еще одним фактором, позволяющим киберпреступникам, зарабатывать на выкупе, является недооценка угрозы со стороны бизнеса и отсутствие средств защиты, позволяющих вовремя идентифицировать и нейтрализовать шифровальщика”.

img


Group-IB


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Мысли вслух

Не успели мы отбиться от вызовов и задач, которые взвалила на нас принудительная удаленка, как уже растут новые вызовы. В частности, нас ждет будущее всеобщей цифровизации, и будущее это будет непременно светлым и радостным, но только если мы в него впишемся.
Уже довольно многие согласны с тем, что в крупных организациях необходимо создавать т. н. «службы заказчика», предоставляющие аутсорсинг ИТ-услуг.

Я первое время ходил на все встречи с диктофоном, что спасал о меня от ситуации, когда я полностью понял собеседника, идеально подстроился, обо всем договорился… но вот о чем договорился и вообще, что обсуждали –, не помню хоть убей.

Компании сообщают

Мероприятия

Micro Focus Fortify
ОНЛАЙН
26.10.2020
11:30
HI-TECH Building 2020
Москва, Крокус Экспо
27.10.2020 — 29.10.2020
Integrated Systems Russia 2020
Москва, Крокус Экспо
27.10.2020 — 29.10.2020
Blue Prism Roadshow Russia
ОНЛАЙН
27.10.2020
11:00