Il nuovo ransomware OldGremlin utilizza malware personalizzato per colpire le organizzazioni più importanti
24 Settembre 2020 - Tempo di lettura: 12 minuti
Un nuovo gruppo di ransomware ha preso di mira le grandi reti aziendali utilizzando backdoor autoprodotte e malware di crittografia dei file per le fasi iniziale e finale dell'attacco.
I ricercatori stanno monitorando la banda usando il nome in codice OldGremlin. Le loro campagne sembrano essere iniziate alla fine di marzo e non si sono ancora espanse a livello globale.
Gli attacchi attribuiti a questo gruppo sono stati identificati solo in Russia, ma c'è un forte sospetto che OldGremlin stia attualmente operando su scala più piccola per mettere a punto i propri strumenti e tecniche prima di diventare globale.
Strumenti personalizzati, phishing fantasioso
OldGremlin utilizza backdoor personalizzate (TinyPosh e TinyNode) e ransomware (TinyCrypt, aka decr1pt) insieme a software di terze parti per la ricognizione e il movimento laterale (Cobalt Strike, screenshot della riga di comando, Mail PassView di NirSoft per il recupero della password e-mail).
La banda non è esigente riguardo alle vittime fintanto che sono aziende di spicco in Russia (laboratori medici, banche, produttori, sviluppatori di software), il che indica che è composta da membri di lingua russa.
L'attore della minaccia inizia i suoi attacchi con e-mail di spear phishing che forniscono strumenti personalizzati per l'accesso iniziale. Usano nomi validi per l'indirizzo del mittente, impersonando individui noti.
I ricercatori della società di sicurezza informatica Group-IB con sede a Singapore affermano che in un attacco contro una banca OldGremlin ha inviato un'e-mail con la scusa di organizzare un'intervista con un giornalista in un popolare quotidiano economico.
Il falso giornalista ha programmato un appuntamento utilizzando un'app di calendario e quindi ha contattato la vittima con un collegamento a presunte domande dell'intervista ospitate presso un servizio di archiviazione online. Facendo clic sul collegamento è stata scaricata la backdoor di TinyPosh.
Per un altro attacco contro un laboratorio clinico, l'attore ha impersonato RosBiznesConsulting (RBC), una delle principali holding di media in Russia, che aveva problemi a pagare per i servizi medici.
Sembrano essere esperti in ingegneria sociale e approfittano degli eventi attuali per rendere più credibile il loro phishing.
Ad esempio, il 19 agosto si sono presentati come CEO della Minsk Tractor Works, informando i partner russi che la società era indagata per la partecipazione a proteste antigovernative in Bielorussia e chiedendo loro i documenti richiesti dall'ufficio del procuratore.
Vale la pena ricordare che il nome utilizzato per l'indirizzo del mittente non è dell'effettivo CEO della fabbrica. Almeno 50 messaggi sono stati inviati in questa campagna.
L'obiettivo è quello di prendere piede sulla rete dell'organizzazione target tramite una delle due backdoor (TinyNode o TinyPosh) che consentono di espandere l'attacco tramite moduli aggiuntivi scaricati dal loro server di comando e controllo (C2). Remote Desktop Protocol viene utilizzato anche per passare ad altri sistemi sulla rete.
Dopo aver trascorso un po' di tempo sulla rete per identificare sistemi di valore, l'aggressore implementa la routine di crittografia dei file. Nel caso del laboratorio medico, l'aggressore ha ottenuto le credenziali di amministratore del dominio e ha creato un account di fallback con gli stessi privilegi elevati per mantenere la persistenza nel caso in cui quello iniziale fosse bloccato.
OldGremlin è passato alla fase di crittografia poche settimane dopo l'accesso iniziale, eliminando i backup del server e bloccando centinaia di computer sulla rete aziendale.
La richiesta di riscatto lasciata chiedeva quasi $ 50.000 in criptovaluta per la chiave di decrittazione e forniva un indirizzo email Proton per il contatto.
In totale, Group-IB ha rilevato più attacchi attribuiti a OldGremlin tra maggio e agosto 2020, tutti contro obiettivi in Russia, ha detto Group-IB.
Questa tattica distingue il gruppo dagli altri attori della minaccia ed è stata precedentemente vista con i gruppi motivati finanziariamente Silence e Cobalt, che gestivano anche operazioni più piccole in Russia e prima di spostarsi su obiettivi al di fuori dei confini del paese e oltre lo spazio ex sovietico.
In genere, gli hacker russi evitano di attaccare le organizzazioni in Russia e nei paesi ex sovietici. Diversi gruppi di ransomware di grandi dimensioni e attori delle minacce sono irremovibili su questo.
"Ciò indica che gli attaccanti stanno perfezionando le loro tecniche beneficiando del vantaggio in casa prima di diventare globali, come nel caso di Silence e Cobalt, o sono rappresentanti di alcuni dei vicini della Russia che hanno un forte comando del russo" - Oleg Skulkin, analista senior di Digital Forensics del Gruppo IB
Skulkin afferma che OldGremlin è l'unico attore di ransomware di lingua russa a ignorare questa regola e che le loro tattiche e tecniche sono simili a quelle dei gruppi di hacking avanzati.
Nel loro post sul blog di oggi, Group-IB fornisce un elenco di indicatori di compromesso per OldGremlin insieme a dettagli sulle tattiche, tecniche e procedure di seguito osservate negli attacchi attribuiti a questo nuovo gruppo.
