Sikkerhedsforskere opdagede et farligt og udbredt angreb mod virksomheder i Rusland, hackegruppen bagved er kendt som OldGremlin. Målene er produktive virksomheder i forskellige sektorer, og hackerne ser ud til at bruge forskellige ransomware og relateret malware som deres valgte våben.
Russiske selskaber målrettet med Ransomware-kampagne arrangeret af OldGremlin Hacking Group
Russiske virksomheder er blevet målet for en ny ødelæggende bølge af ransomware-angreb. Denne nyhed kom ud af flere rapporter, der indikerer, at indtrængen er relateret og spores op til en enkelt hackinggruppe. Det kaldes OldGremlin, og det menes, at det er organiseret af et meget erfarent kollektiv. Målvirksomhederne kommer fra vigtige sektorer i branchen: finansielle institutioner (inklusive banker), fremstillingsvirksomhed, softwareudviklere, og medicinske laboratorier.
De første angreb har været spores at være startet tilbage i marts i år. I henhold til de kendte oplysninger, kampagnerne har været flere; den første vellykkede indtrængen blev udført i august 11 mod et klinisk laboratorium. Dette viser, at hackere løbende overvåger og opdaterer deres strategi for at finde en svaghed. En af spekulationerne er, at de kriminelle bruger russiske mål som en test, før de skifter til et andet land. Det ser ud til, at hackerne bruger en sofistikeret angrebsmetode med flere malware. Det vigtigste mål er at levere kompleks ransomware til de målrettede virksomheder’ interne netværk. De krypterer målbrugere’ data og derefter afpresse ofrene for en dekrypteringsbetaling.
OldGremlin Hacking Group og deres infiltrationstaktik
Mekanismen, der bruges af hackerne, er ikke den enkle brute force-tilgang og automatisk virusinstallation, hvilket ofte observeres af de fleste kriminelle grupper. I stedet bruger gruppen specialdesignede trojanske heste som er programmeret til at levere ekstra nyttelast til målcomputere. To af de opdagede er TinyNode og TinyPosh.
En af de første mekanismer, der bruges til at trænge ind på et givet netværk, er at sende en phishing-e-mail-besked, som efterligner sig som en faktura sendt af RBC Group, en af de største mediegrupper i Rusland. Afhængig af angreb kampagne, meddelelsesindholdet kan ændre sig for at svindle modtagerne til at tro, at det kommer fra en finansiel institution, et partnerfirma, tandklinikker, kunder, etc. En af de udbredte kampagner brugte COVID-19-meddelelser, som var en meget effektiv mekanisme til levering af malware.
Indholdet af meddelelserne indeholder enten et link eller en vedhæftet fil for at levere de ovennævnte trojanske heste. De udfører deres indbyggede sekvenser; til sidst, den lokale klientagent opretter en sikker forbindelse til de hackerstyrede servere. Denne vedvarende forbindelse giver de kriminelle mulighed for at overhale kontrollen med maskinerne, udspionere ofrene, og installer den relevante ransomware.
Hackinggruppens angreb fortsætter med forskellige kampagner og angrebsmodeller. På alle måder, hackerne’ holdning viser, at de også vil fortsætte med deres bestræbelser og forsøge at trænge ind på andre netværk.