ransomware

I ricercatori di Group-IB, hanno condotto uno studio su un nuovo gruppo di criminali informatici chiamato OldGremlin che ha preso di mira le aziende russe – comprese banche, imprese industriali e aziende mediche – con attacchi ransomware.

OldGremlin fa affidamento su una serie di strumenti, tra cui backdoor personalizzate chiamate TinyPosh e TinyNode, per scaricare payload aggiuntivi – con l’obiettivo finale di crittografare i file nel sistema infetto utilizzando TinyCryptor ransomware (noto anche come decr1pt). Utilizza anche e-mail di spear-phishing in cui indica false raccomandazioni sulla pandemia di coronavirus o richieste di interviste ai media. Il tutto per incentivare le vittime a fare click sull’allegato malevolo e quindi portare a compimento l’attacco.

I ricercatori hanno scoperto il gruppo per la prima volta in agosto, quando ha preso di mira una grande azienda medica con un’e-mail di spear phishing. L’email conteneva un vettore di attacco di OldGremlin per crittografare l’intera rete dell’azienda, per poi richiedere un riscatto di $ 50.000 in cryptovalute come compenso per fornire le chiavi di decriptazione.

In particolare il gruppo di cybercriminali ha inviato ai bersagli un’e-mail contenente in allegato un archivio ZIP, con oggetto “Fattura in scadenza“. Dopo che il file eseguibile è stato lanciato, in 20 secondi Windows Defender ha rilevato ed eliminato il malware”. Eppure questi 20 secondi sono stati sufficienti al trojan per ottenere la persistenza nel sistema infetto. Infatti Dopo aver ottenuto l’accesso remoto al computer della vittima, gli attaccanti hanno eseguito la ricognizione della rete, raccolto dati preziosi e propagati attraverso la rete, utilizzando anche il framework Cobalt Strike per assicurarsi che qualsiasi attività post-exploitation fosse il più efficace possibile.

Tre settimane dopo il lancio di quell’eseguibile, i dipendenti dell’azienda sono arrivati ​​al lavoro e sono stati accolti da un messaggio allarmante sugli schermi dei loro computer: “I tuoi file sono stati crittografati” con conseguente richiesta di riscatto.

Sempre dall’analisi di Group-IB, si apprende che le prime attività di OldGremlin sono iniziate tra la fine di marzo e l’inizio di aprile. Il gruppo ha approfittato della pandemia COVID-19 per creare i primi phishing, inviando alle istituzioni finanziarie presunte raccomandazioni su come organizzare un ambiente di lavoro sicuro durante la pandemia e impersonando l’organizzazione di autoregolamentazione Mikrofinansirovaniye i Razvitiye (SRO MiR). 

Di seguito una cronologia degli attacchi ransomware di OldGremlin:

cronologia_attacchi

Per l’analisi dettagliata, fai riferimento al link utilizzato come fonte per quest’articolo.

FONTE: Group-ib

Puoi seguirci anche sui nostri canali social:

Inoltre è attiva la Newsletter settimanale, con cui potrai ricevere gratuitamente ogni domenica una selezione di tutti gli articoli e guide pubblicate sul sito.

Articoli correlati:

condividi