Хакерская русскоязычная группа OldGremlin совершила атаку на российскую медицинскую компанию, полностью зашифровав ее корпоративную сеть и потребовав выкуп в $50 000. Об этом говорится в сообщении участника «Сколково» Group-IB, поступившем в редакцию сайта.
Несмотря на негласный запрет в среде киберпреступников «не работать по РУ», OldGremlin, активно атакует исключительно российские компании — банки, промышленные предприятия, медицинские организации и разработчиков софта.
Начиная с весны этого года, OldGremlin, по оценкам экспертов Group-IB, провела как минимум 9 кампаний по рассылке вредоносных писем якобы от имени Союза микрофинансовых организаций “МиР”, российского металлургического холдинга, белорусского завода “МТЗ”, стоматологической клиники, медиахолдинга РБК и др.
В августе с.г. в ходе исследования инцидента специалистами Group-IB Threat Intelligence cтали известны подробности удачной группы OldGremlin. Жертвой хакеров стала крупная медицинская компания с сетью региональных филиалов. Атака началась с вредоносной рассылки — фишингового письма, написанного якобы от медиахолдинга РБК.
Изображение: Group IB
Как установили в Group-IB, на первоначальном этапе атакующие использовали уникальный самописный бэкдор TinyNode, выполняющий функцию первичного загрузчика, который позволяет скачивать и запускать другие вредоносные программы. С его помощью злоумышленники получили удаленный доступ к зараженному компьютеру жертвы, который выступал в качестве плацдарма для разведки, сбора данных и дальнейшего продвижения по сети организации. Как многие другие группы, для эффективной пост-эксплуатации OldGremlin использовали инструмент для пентестов Cobalt Strike Beacon.
Спустя несколько недель после начала атаки злоумышленники удалили резервные копии организации для того, чтобы лишить ее возможности восстановления данных. С того же сервера в один из выходных дней за несколько часов они распространили свой вирус-шифровальщик TinyCryptor на сотни компьютеров корпоративной сети. В результате атаки работа региональных подразделений компании была парализована — за расшифровку данных злоумышленники потребовали $50 000 в криптовалюте.
Первая атака OldGremlin, по данным Group-IB Threat Intelligence, была зафиксирована в конце марта — начале апреля 2020 года. Используя актуальную тему с COVID-19, злоумышленники от имени Союза микрофинансовых организаций “МиР" разослали по финансовым организациям рекомендации по обеспечению безопасной работы в период пандемии. Именно тогда впервые атакующими был использован другой самописный бэкдор — TinyPosh, который также по команде управляющего сервера позволяет скачивать и запускать другие вредоносные программы. Вторая атака с его участием произошла 24 апреля — схема была примерно та же, что и в первый раз, но отправителем выступала стоматологическая клиника.
Две недели спустя в OldGremlin решили сменить тактику. Они подготовили фейковое письмо от имени журналистки РБК, которая якобы приглашала получателей принять участие в «Всероссийском исследовании банковского и финансового сектора во время пандемии коронавируса». “Журналистка” назначала потенциальной жертве (банку) 30-минутное интервью и внесла его в специально созданный для этой цели календарь. В отличие от первых писем, сообщение от корреспондента РБК было довольно точно подделано под рассылку медиахолдинга и написано хорошим русским языком. Как в первых почтовых рассылках, открытие ссылки в письме приводило к тому, что на машину жертвы загружался троян.
13 и 14 августа 2020 г. CERT-GIB зафиксировал две масштабных рассылки вредоносных писем, но на этот раз от имени металлургической компании и вновь от РБК. За двое суток преступники разослали около 250 писем, нацеленных на российские компании из финансовой и производственной отраслей.
Уже через несколько дней хакеры меняют письмо-приманку, взяв на вооружение белорусские протесты. Утром 19 августа команда CERT-GIB зафиксировала вредоносную рассылку по российским финансовым организациям от имени “Минского Тракторного Завода” (ОАО МТЗ). Опасные письма — всего их было более полусотни — выявила и нейтрализовала система предотвращения сложных киберугроз Threat Detection System (TDS) Group-IB.