Η OldGremlin, μια από τις λίγες ομάδες ransomware που επιτίθενται σε ρωσικά εταιρικά δίκτυα, έχει επεκτείνει την εργαλειοθήκη της με κακόβουλο λογισμικό κρυπτογράφησης αρχείων για μηχανές Linux.
Δείτε επίσης: Κυκλοφόρησε νέα έκδοση του malware Ursnif – γνωστού ως Gozi
Η συμμορία λειτουργεί τουλάχιστον από τον Μάρτιο του 2020, χρησιμοποιώντας αυτοδημιούργητο κακόβουλο λογισμικό για να στοχεύει ρωσικές εταιρείες στους τομείς της εφοδιαστικής, της βιομηχανίας, των ασφαλίσεων, του λιανικού εμπορίου, της ανάπτυξης λογισμικού για ακίνητα και των τραπεζών.
Η ομάδα TinyScouts, επίσης γνωστή ως OldGremlin, χαρακτηρίζεται από μικρό αριθμό εκστρατειών ανά έτος με απαιτήσεις λύτρων σε εκατομμύρια.
Το 2022, η διαδικτυακή ομάδα hacking OldGremlin διεξήγαγε μόλις πέντε εκστρατείες. Αλλά αυτές οι λίγες επιχειρήσεις απέφεραν στους χάκερ τα υψηλότερα λύτρα από τα δυόμισι χρόνια λειτουργίας τους: 16,9 εκατομμύρια δολάρια, λένε οι ερευνητές της Group-IB, μιας εταιρείας κυβερνοασφάλειας με έδρα τη Σιγκαπούρη.
Δείτε επίσης: ΗΠΑ: Δύο άνδρες καταδικάστηκαν σε δύο χρόνια φυλάκιση για κλοπή cryptocurrency
Ransomware που δημιουργήθηκε από τον OldGremlin για συστήματα Linux
Οι ερευνητές της Group-IB ερευνούν την OldGremlin και τις τακτικές, τεχνικές και διαδικασίες (TTPs) της από τις πρώτες επιθέσεις που σχετίζονται με την ομάδα τον Μάρτιο του 2020. Κατά τη διάρκεια μιας δέσμευσης απόκρισης συμβάντων φέτος, το Group-IB διαπίστωσε ότι η OldGremlin στόχευσε μια μηχανή Linux με μια παραλλαγή Go του ransomware TinyCrypt που χρησιμοποιεί η συμμορία για την κρυπτογράφηση μηχανών Windows.
Οι ερευνητές λένε ότι η παραλλαγή του Linux χρησιμοποιεί αλγόριθμο AES με λειτουργία CBC block cipher για την κρυπτογράφηση αρχείων χρησιμοποιώντας κλειδί 256-bit. Αυτό το κλειδί κρυπτογραφείται χρησιμοποιώντας το ασύμμετρο κρυπτοσύστημα RSA-2048, το οποίο λειτουργεί με τον ίδιο τρόπο όπως το αντίστοιχο των Windows.
Το malware executable χρησιμοποιεί το Ultimate Packer (UPX) για την κρυπτογράφηση αρχείων και προσθέτει την επέκταση .crypt σε αυτά τα κρυπτογραφημένα αρχεία. Αυτά περιλαμβάνουν τις επεκτάσεις .RAW, .ZST, CSV, IMG,.ISO SQL TAR TGZ DAT GZ , andDUMP.”
Οι φετινές εκστρατείες
Για την παραβίαση του στόχου, στέλνουν phishing emails που παριστάνουν αναγνωρίσιμους οργανισμούς – RBC media group, ομάδες συμβούλων, προγραμματιστές συστημάτων διαχείρισης, ομάδες lobby, Minsk Tractor Works, μια οδοντιατρική κλινική, χρηματοπιστωτικές οντότητες, δικηγορικά γραφεία και άλλα.
Φέτος, η ομάδα OldGremlin ξεκίνησε τις εκστρατείες της με ένα κακόβουλο email. Ωστόσο, άλλαξε τη μέθοδο παράδοσης του κακόβουλου λογισμικού, βάζοντας το θύμα να κατεβάσει το έγγραφο από μια υπηρεσία ανταλλαγής αρχείων αντί να διανείμει το payload του αρχικού σταδίου απευθείας μέσω ενός κακόβουλου εγγράφου.
Το πρώτο payload είναι το TinyFluff, ένα backdoor NodeJS που επιτρέπει την απομακρυσμένη πρόσβαση στο σύστημα και πρόσθετες λήψεις.
Κατά μέσο όρο, το OldGremlin παραμένει στο δίκτυο του θύματος για 49 ημέρες για να συλλέξει πολύτιμες πληροφορίες που διαφορετικά δεν θα ήταν διαθέσιμες, όπως κωδικούς encryption για συστήματα υψηλής αξίας.
Δείτε επίσης: Εντοπίστηκε μια νέα έκδοση του Android spyware Furball
Η ομάδα χρησιμοποιεί την ακόλουθη εργαλειοθήκη για να πετύχει τον στόχο της:
- Ένα εργαλείο reconnaissance
- επιβλαβή αρχεία LNK
- πολλαπλά backdoors (TinyPosh, TinyNode, TinyFluff, TinyShell)
- εργαλείο για την εξαγωγή δεδομένων από το Credential Manager
- εργαλείο για παράκαμψη του avtivirus software
- εργαλείο για την απομόνωση μιας συσκευής από το δίκτυο
- TinyCrypt ransomware
Η εργαλειοθήκη υποδηλώνει έντονα ότι η ομάδα OldGremlin είναι ένας εξαιρετικά εξειδικευμένος απειλητικός παράγοντας που προετοιμάζει προσεκτικά τις επιθέσεις για να αφήσει τα θύματά του χωρίς άλλη επιλογή από το να πληρώσουν τα λύτρα.
Εκτός από τα προσαρμοσμένα εργαλεία, το PowerSploit και το Cobalt Strike είναι πλαίσια ανοικτού κώδικα και εμπορικά πλαίσια που χρησιμοποιεί ο επιτιθέμενος.
Μέχρι σήμερα, οι ερευνητές έχουν εντοπίσει και τεκμηριώσει 16 ξεχωριστές επιθέσεις που όλες αποδίδονται στην ομάδα OldGremlin – με τις περισσότερες από αυτές να συμβαίνουν το 2020.
Οι περισσότερες συμμορίες ransomware στοχεύουν εταιρείες εκτός της Ρωσίας και της περιοχής της Κοινοπολιτείας Ανεξάρτητων Κρατών (ΚΑΚ), αν και οι ρωσικές εταιρείες εξακολουθούν να δέχονται περιστασιακά επιθέσεις με κακόβουλο λογισμικό κρυπτογράφησης αρχείων.
Αρκετές ομάδες, συμπεριλαμβανομένων των Ρώσων κυβερνοεγκληματιών Dharma, Crylock και Thanos, δεν ευθυγραμμίζονται με αυτόν τον κανόνα. Αυτοί οι ίδιοι εγκληματίες ήταν μερικοί από τους πιο δραστήριους το 2021.
Πηγή πληροφοριών: bleepingcomputer.com
