Η εταιρεία ασφαλείας Group-IB αναφέρει ότι εντόπισε μια νέα εγκληματική ομάδα στον κυβερνοχώρο που τους τελευταίους έξι μήνες, έχει στοχεύσει επανειλημμένα και σκόπιμα διάφορες ρωσικές επιχειρήσεις με επιθέσεις malware και ransomware. Η Group-IB λέει ότι οι hackers της ομάδας OldGremlin βρίσκονται πίσω από στοχευμένες επιθέσεις και χρησιμοποιούν ένα στέλεχος ransomware που ονομάζεται TinyCryptor (γνωστό και ως decr1pt).
“Προσπάθησαν να στοχεύσουν μόνο ρωσικές εταιρείες μέχρι στιγμής”, δήλωσε ο Oleg Skulkin, ανώτερος αναλυτής του DFIR της Group-IB, στο ZDNet αυτήν την εβδομάδα.
“Αυτό είναι πολύ ασυνήθιστο για ρωσόφωνες συμμορίες που έχουν αυτόν τον απροσδιόριστο κανόνα να μην στοχεύουν την Ρωσία και τις μετα-σοβιετικές χώρες”.
Πως ξεδιπλώνονται οι επιθέσεις
Οι επιθέσεις της OldGremlin συνήθως ξεκινούν με ηλεκτρονικά μηνύματα ηλεκτρονικού ψαρέματος (phear-phishing) που μεταφέρουν αρχεία ZIP με malware, τα οποία συνήθως θα μολύνουν τον οργανισμό με ένα trojan backdoor που ονομάζεται TinyNode. Αυτό δίνει στους εισβολείς μια αρχική βάση στο δίκτυο της εταιρείας, όπου οι χάκερ εξαπλώνονται πλευρικά σε άλλα συστήματα και στη συνέχεια αναπτύσσουν το ransomware στο τελικό στάδιο των επιθέσεων τους.
Μόλις ένα δίκτυο κρυπτογραφηθεί, το πλήρωμα της OldGremlin συνήθως ζητά περίπου 50.000 $ λύτρα χρησιμοποιώντας μηνύματα που έχουν απομείνει στα μολυσμένα συστήματα.
Ο Skulkin λέει ότι η Group-IB εντόπισε την ομάδα OldGremlin τον Αύγουστο, αλλά οι επιθέσεις της ομάδας χρονολογούνται από τον Μάρτιο, με τα μηνύματα phishing που χρησιμοποιούν να έχουν ποικίλα θέλγητρα – για παράδειγμα παριστάνουν τους δημοσιογράφους που αναζητούν δουλειά.
Όπως σημείωσε ο Skulkin, οι επιθέσεις εναντίον ρωσικών οντοτήτων είναι σπάνιες αλλά έχουν συμβεί στο παρελθόν. Συνήθως, ομάδες όπως η Silence και η Cobalt ξεκίνησαν ως “μικρές” στη Ρωσία πριν επεκτείνουν τις δραστηριότητές τους στο εξωτερικό, πρώτα σε γειτονικές χώρες και μετά σε στόχους σε όλο τον κόσμο.
“Αν είναι Ρώσοι, τότε θα ήταν ασυνήθιστο, αλλά όχι ανήκουστο,” δήλωσε ο διευθυντής προϊόντων της KELA, Raveed Laeb, στο ZDNet σε συνέντευξή του αυτή την εβδομάδα.
“Υπάρχει επίσης η πιθανότητα να μην είναι Ρώσοι αλλά να λειτουργούν εκτός των χωρών της ΚΑΚ – για παράδειγμα, οι Ουκρανοί υπήκοοι έχουν πιθανώς ένα διπλό κίνητρο να επιτεθούν σε ρωσικές οντότητες, τόσο οικονομικές όσο και ιδεολογικές”, πρόσθεσε ο Laeb.
