Um novo grupo de ransomware tem como alvo grandes redes corporativas usando backdoors auto-fabricados e malware criptografador de arquivos para os estágios iniciais e finais do ataque.
Investigadores estão rastreando a gangue usando o codinome OldGremlin. Suas campanhas parecem ter começado no final de março e ainda não se expandiram globalmente.
Ataques atribuídos a este grupo foram identificados apenas na Rússia, mas há uma forte suspeita de que a OldGremlin está atualmente operando em menor escala para ajustar suas ferramentas e técnicas antes de se tornou global.
Ferramentas personalizadas, phishing imaginativo
O OldGremlin está usando backdoors personalizados (TinyPosh e TinyNode) e ransomware (TinyCrypt, também conhecido como decr1pt) juntamente com software de terceiros para reconhecimento e movimento lateral (Cobalt Strike, captura de tela da linha de comando, Mail PassView da NirSoft para recuperação de senha de e-mail).
A gangue não é exigente com as vítimas, desde que sejam negócios proeminentes na Rússia (laboratórios médicos, bancos, fabricantes, desenvolvedores de software), indicando que é composta por membros de língua russa.
O ator de ameaças inicia seus ataques com e-mails de phishing de lança que fornecem ferramentas personalizadas para acesso inicial. Eles usam nomes válidos para o endereço do remetente, personificando indivíduos conhecidos.
Pesquisadores da empresa de cibersegurança Group-IB, com sede em Cingapura, dizem que em um ataque contra um banco, OldGremlin enviou um e-mail sob o pretexto de marcar uma entrevista com um jornalista em um jornal de negócios popular.
O falso jornalista marcou um compromisso usando um aplicativo de calendário e, em seguida, entrou em contato com a vítima com um link para supostas perguntas de entrevista hospedadas em um serviço de armazenamento online. Clicando no link, baixei o backdoor TinyPosh.
Para outro ataque direcionado a um laboratório clínico, o ator se passou por RosBiznesConsulting (RBC), uma grande holding de mídia na Rússia, que teve problemas para pagar por serviços médicos.
Eles parecem ser bem versados em engenharia social e aproveitam os eventos atuais para tornar seu phishing mais crível.
Por exemplo, em 19 de agosto eles se apresentaram como o CEO da Minsk Tractor Works informando aos parceiros russos que a empresa estava sendo investigada por participação em protestos anti-governo na Bielorrússia e pedindo-lhes documentos exigidos pelo ministério público.
Vale ressaltar que o nome usado para o endereço do remetente não é do atual CEO da fábrica. Pelo menos 50 mensagens foram enviadas nesta campanha.
O objetivo é ganhar uma posição na rede da organização alvo através de um dos dois backdoors (TinyNode ou TinyPosh) que permitem expandir o ataque através de módulos adicionais baixados de seu servidor de comando e controle (C2). O Remote Desktop Protocol também é usado para saltar para outros sistemas na rede.
Depois de passar algum tempo na rede identificando sistemas valiosos, o invasor implanta a rotina de criptografia de arquivos. No caso do laboratório médico, o invasor obteve credenciais de administrador de domínio e criou uma conta de recuo com os mesmos privilégios elevados para manter a persistência caso a inicial fosse bloqueada.
O OldGremlin mudou-se para o estágio de criptografia algumas semanas após o acesso inicial, excluindo backups de servidores e bloqueando centenas de computadores na rede corporativa.
A nota de resgate deixada para trás pediu cerca de US $ 50.000 em criptomoeda para a chave de descriptografia e forneceu um endereço de e-mail Proton para contato.
No total, o Grupo-IB detectou vários ataques atribuídos ao OldGremlin entre maio e agosto de 2020, todos contra alvos na Rússia, disse o Grupo-IB ao BleepingComputer.
Essa tática diferencia o grupo de outros atores de ameaça e foi vista anteriormente com os grupos motivados financeiramente Silence e Cobalt, que também operavam em menor operação na Rússia e antes de se mudar para alvos fora das fronteiras do país e além do antigo espaço soviético.
Normalmente, hackers russos evitam atacar organizações na Rússia e ex-países soviéticos. Vários grupos de ransomware de grandes jogos e atores de ameaças são inflexíveis sobre isso.
“Isso indica que os atacantes estão afinando suas técnicas beneficiando-se da vantagem doméstica antes de se tornaram globais, como foi o caso do Silence e Cobalt, ou são representantes de alguns dos vizinhos da Rússia que têm um forte comando de russo” – Oleg Skulkin, analista sênior de Perícias Digitais do Grupo-IB
Skulkin diz que o OldGremlin é o único ator de ransomware de língua russa a ignorar essa regra e que suas táticas e técnicas são semelhantes às de grupos de hackers avançados.
Em seu post no blog hoje, o Grupo-IB fornece uma lista com indicadores de compromisso para a OldGremlin, juntamente com detalhes sobre as táticas, técnicas e procedimentos abaixo observados em ataques atribuídos a este novo grupo.
FONTE: BLEEPING COMPUTER