Novo ransomware OldGremlin usa malware personalizado para atingir as principais organizações

Views: 357
0 0
Read Time:3 Minute, 58 Second

Um novo grupo de ransomware tem como alvo grandes redes corporativas usando backdoors auto-fabricados e malware criptografador de arquivos para os estágios iniciais e finais do ataque.

Investigadores estão rastreando a gangue usando o codinome OldGremlin. Suas campanhas parecem ter começado no final de março e ainda não se expandiram globalmente.

Ataques atribuídos a este grupo foram identificados apenas na Rússia, mas há uma forte suspeita de que a OldGremlin está atualmente operando em menor escala para ajustar suas ferramentas e técnicas antes de se tornou global.

Ferramentas personalizadas, phishing imaginativo

O OldGremlin está usando backdoors personalizados (TinyPosh e TinyNode) e ransomware (TinyCrypt, também conhecido como decr1pt) juntamente com software de terceiros para reconhecimento e movimento lateral (Cobalt Strike, captura de tela da linha de comando, Mail PassView da NirSoft para recuperação de senha de e-mail).

A gangue não é exigente com as vítimas, desde que sejam negócios proeminentes na Rússia (laboratórios médicos, bancos, fabricantes, desenvolvedores de software), indicando que é composta por membros de língua russa.

O ator de ameaças inicia seus ataques com e-mails de phishing de lança que fornecem ferramentas personalizadas para acesso inicial. Eles usam nomes válidos para o endereço do remetente, personificando indivíduos conhecidos.

Pesquisadores da empresa de cibersegurança Group-IB, com sede em Cingapura, dizem que em um ataque contra um banco, OldGremlin enviou um e-mail sob o pretexto de marcar uma entrevista com um jornalista em um jornal de negócios popular.

O falso jornalista marcou um compromisso usando um aplicativo de calendário e, em seguida, entrou em contato com a vítima com um link para supostas perguntas de entrevista hospedadas em um serviço de armazenamento online. Clicando no link, baixei o backdoor TinyPosh.

Para outro ataque direcionado a um laboratório clínico, o ator se passou por RosBiznesConsulting (RBC), uma grande holding de mídia na Rússia, que teve problemas para pagar por serviços médicos.

Eles parecem ser bem versados em engenharia social e aproveitam os eventos atuais para tornar seu phishing mais crível.

Por exemplo, em 19 de agosto eles se apresentaram como o CEO da Minsk Tractor Works informando aos parceiros russos que a empresa estava sendo investigada por participação em protestos anti-governo na Bielorrússia e pedindo-lhes documentos exigidos pelo ministério público.

Vale ressaltar que o nome usado para o endereço do remetente não é do atual CEO da fábrica. Pelo menos 50 mensagens foram enviadas nesta campanha.

O objetivo é ganhar uma posição na rede da organização alvo através de um dos dois backdoors (TinyNode ou TinyPosh) que permitem expandir o ataque através de módulos adicionais baixados de seu servidor de comando e controle (C2). O Remote Desktop Protocol também é usado para saltar para outros sistemas na rede.

Depois de passar algum tempo na rede identificando sistemas valiosos, o invasor implanta a rotina de criptografia de arquivos. No caso do laboratório médico, o invasor obteve credenciais de administrador de domínio e criou uma conta de recuo com os mesmos privilégios elevados para manter a persistência caso a inicial fosse bloqueada.

O OldGremlin mudou-se para o estágio de criptografia algumas semanas após o acesso inicial, excluindo backups de servidores e bloqueando centenas de computadores na rede corporativa.

A nota de resgate deixada para trás pediu cerca de US $ 50.000 em criptomoeda para a chave de descriptografia e forneceu um endereço de e-mail Proton para contato.

No total, o Grupo-IB detectou vários ataques atribuídos ao OldGremlin entre maio e agosto de 2020, todos contra alvos na Rússia, disse o Grupo-IB ao BleepingComputer.

Essa tática diferencia o grupo de outros atores de ameaça e foi vista anteriormente com os grupos motivados financeiramente Silence e Cobalt, que também operavam em menor operação na Rússia e antes de se mudar para alvos fora das fronteiras do país e além do antigo espaço soviético.

Normalmente, hackers russos evitam atacar organizações na Rússia e ex-países soviéticos. Vários grupos de ransomware de grandes jogos e atores de ameaças são inflexíveis sobre isso.

“Isso indica que os atacantes estão afinando suas técnicas beneficiando-se da vantagem doméstica antes de se tornaram globais, como foi o caso do Silence e Cobalt, ou são representantes de alguns dos vizinhos da Rússia que têm um forte comando de russo” – Oleg Skulkin, analista sênior de Perícias Digitais do Grupo-IB

Skulkin diz que o OldGremlin é o único ator de ransomware de língua russa a ignorar essa regra e que suas táticas e técnicas são semelhantes às de grupos de hackers avançados.

Em seu post no blog hoje, o Grupo-IB fornece uma lista com indicadores de compromisso para a OldGremlin, juntamente com detalhes sobre as táticas, técnicas e procedimentos abaixo observados em ataques atribuídos a este novo grupo.

FONTE: BLEEPING COMPUTER

POSTS RELACIONADOS