OldGremlin: ransomware soviético, activo en Rusia
A medida que los ataques de ransomware contra la infraestructura crítica
continúan aumentando en los últimos meses, los investigadores de
ciberseguridad han descubierto un nuevo participante que ha estado tratando
activamente de realizar ataques de múltiples etapas en grandes redes
corporativas de laboratorios médicos, bancos, fabricantes y desarrolladores
de software en Rusia.
La banda de ransomware, cuyo nombre en
código es "OldGremlin" y se cree que es un actor de amenazas de habla rusa,
ha estado vinculada a una serie de campañas al menos desde marzo, incluido
un ataque exitoso contra un laboratorio de diagnóstico clínico que ocurrió
el mes pasado el 11 de agosto.
"El grupo se ha dirigido solo a empresas rusas hasta ahora, lo que era
típico de muchos adversarios de habla rusa, como
Silence
y
Cobalt, , al comienzo de su camino delictivo", dijo la firma de ciberseguridad de Singapur Group-IB en un informe
publicado hoy.
"Usando Rusia como campo de pruebas, estos grupos luego cambiaron a otras
geografías para distanciarse de las acciones de la policía del país
víctima y disminuir las posibilidades de terminar tras las rejas".
El modus operandi de OldGremlin implica el uso de puertas
traseras personalizadas, como TinyNode y TinyPosh para descargar cargas
útiles adicionales, con el objetivo final de cifrar archivos en el sistema
infectado utilizando el ransomware TinyCryptor (también conocido como
decr1pt) y mantenerlo como rehén por aproximadamente U$S 50.000.
Además,
los operadores ganaron un punto de apoyo inicial en la red mediante un
correo electrónico de phishing enviado en nombre del grupo ruso RBC, un
importante grupo de medios con sede en Moscú, con "Factura" en el asunto. El mensaje informa al destinatario de su incapacidad para comunicarse y
la necesidad del pago de una factura urgente junto con un enlace
malicioso para pagar dicha factura que, al hacer clic, descarga el
malware TinyNode.

El atacante luego accede de forma remota a la computadora infectada, aprovechándolo para moverse
lateralmente a través de la red a través de Cobalt Strike y recopilar
datos de autenticación del administrador del dominio.
En una
variante diferente del ataque observado en marzo y abril, se descubrió que
los ciberdelincuentes utilizaban señuelos de phishing con temática de
COVID para empresas financieras que se hacían pasar por una organización
de microfinanzas rusa para entregar el troyano TinyPosh.
Posteriormente,
se detectó una ola separada de la campaña el 19 de agosto, cuando los
ciberdelincuentes enviaron mensajes de spear-phishing explotando las
protestas en curso en Bielorrusia
denunciando al gobierno, demostrando una vez más que los actores de
amenazas son expertos en capitalizar los eventos mundiales para su
beneficio.
En total, OldGremlin ha estado detrás de nueve
campañas entre mayo y agosto, según Group-IB.
"Lo que distingue a OldGremlin de otros actores de amenazas de habla
rusa es su valentía para trabajar en Rusia", dijo Oleg Skulkin, analista forense digital senior de Group-IB.
"Esto indica que los atacantes están afinando sus técnicas
beneficiándose de la ventaja de jugar en casa antes de volverse
globales, como fue el caso de Silence y Cobalt, o son representantes de
algunos de los vecinos de Rusia que tienen un fuerte dominio del
ruso".
Fuente: THN
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!