Des chercheurs en sécurité ont détecté une attaque dangereuse et généralisée contre des entreprises en Russie, le groupe de piratage derrière est connu sous le nom d'OldGremlin. Les cibles sont des entreprises prolifiques dans différents secteurs, et les pirates semblent utiliser différents ransomwares et logiciels malveillants associés comme armes de choix.
Les entreprises russes ciblées par la campagne Ransomware orchestrée par OldGremlin Hacking Group
Les entreprises russes sont devenues la cible d'une nouvelle vague dévastatrice d'attaques de ransomwares. Cette nouvelle est issue de plusieurs rapports indiquant que les intrusions sont liées et retracées à un seul groupe de piratage.. Elle est appelée OldGremlin, et on pense qu'il est organisé par un collectif très expérimenté. Les entreprises cibles proviennent de secteurs essentiels de l'industrie: institutions financières (y compris les banques), fabrication, développeurs de logiciels, et laboratoires médicaux.
Les premières attaques ont été suivi avoir commencé en mars de cette année. Selon les informations connues, les campagnes ont été plusieurs; la première intrusion réussie a eu lieu en août 11 contre un laboratoire clinique. Cela montre que les pirates surveillent et mettent à jour en permanence leur stratégie pour trouver une faiblesse. L'une des spéculations est que les criminels utilisent des cibles russes comme test avant de passer à un autre pays. Il semble que les pirates utilisent une méthode d'attaque sophistiquée avec plusieurs logiciels malveillants. L'objectif principal est de livrer des ransomwares complexes aux entreprises ciblées’ réseaux internes. Ils chiffreront les utilisateurs cibles’ données et extorquer les victimes pour un paiement de décryptage.
OldGremlin Hacking Group et leurs tactiques d'infiltration
Le mécanisme utilisé par les hackers n'est pas la simple approche de force brute et le déploiement automatique de virus, ce qui est couramment observé par la plupart des groupes criminels. Au lieu de cela, le groupe utilise chevaux de Troie conçus sur mesure qui sont programmés pour fournir des charges utiles supplémentaires aux ordinateurs cibles. Deux des détectés sont TinyNode et TinyPosh.
L'un des premiers mécanismes utilisés pour s'immiscer dans un réseau donné est d'envoyer un e-mail de phishing, qui se fait passer pour une facture envoyée par le Groupe RBC, l'un des principaux groupes de médias en Russie. Selon la campagne d'attaque, le contenu du message peut changer pour arnaquer les destinataires en leur faisant croire qu'il provient d'une institution financière, une entreprise partenaire, cliniques dentaires, les clients, etc. L'une des campagnes les plus répandues a utilisé des messages sur le thème du COVID-19, qui étaient un mécanisme très efficace pour diffuser des logiciels malveillants.
Le contenu des messages contiendra soit un lien, soit un fichier joint pour livrer les chevaux de Troie mentionnés ci-dessus. Ils exécuteront leurs séquences intégrées; à la fin, l'agent client local établira une connexion sécurisée avec les serveurs contrôlés par les pirates. Cette connexion persistante permet aux criminels de prendre le contrôle des machines, espionner les victimes, et installez le ransomware approprié.
Les attaques du groupe de piratage se poursuivent avec différentes campagnes et modèles d'attaque. Par tous les moyens, les hackers’ l'attitude montre qu'ils poursuivront leurs efforts et tenteront également de s'immiscer dans d'autres réseaux.