I ricercatori della sicurezza hanno rilevato un attacco pericoloso e diffuso contro le aziende in Russia, il gruppo di hacker dietro è noto come OldGremlin. Gli obiettivi sono aziende prolifiche in diversi settori, e gli hacker sembrano utilizzare diversi ransomware e malware correlati come armi preferite.
Società russe prese di mira dalla campagna ransomware orchestrata da OldGremlin Hacking Group
Le aziende russe sono diventate l'obiettivo di una nuova devastante ondata di attacchi ransomware. Questa notizia è emersa da diversi rapporti che indicano che le intrusioni sono correlate e rintracciate in un singolo gruppo di hacker. È chiamato OldGremlin, e si ritiene che sia organizzato da un collettivo di grande esperienza. Le aziende target provengono da settori essenziali dell'industria: istituzioni finanziarie (banche comprese), produzione, sviluppatori di software, e laboratori medici.
I primi attacchi sono stati tracciato essere iniziato nel marzo di quest'anno. Secondo le informazioni note, le campagne sono state diverse; la prima intrusione riuscita è stata fatta ad agosto 11 contro un laboratorio clinico. Ciò dimostra che gli hacker monitorano e aggiornano continuamente la loro strategia per trovare un punto debole. Una delle speculazioni è che i criminali utilizzino obiettivi russi come test prima di passare a un altro paese. Sembra che gli hacker stiano utilizzando un sofisticato metodo di attacco con più malware. L'obiettivo principale è quello di fornire ransomware complessi alle aziende target’ reti interne. Criteranno gli utenti di destinazione’ dati e quindi estorcere alle vittime un pagamento di decrittazione.
OldGremlin Hacking Group e le loro tattiche di infiltrazione
Il meccanismo utilizzato dagli hacker non è il semplice approccio di forza bruta e la distribuzione automatica dei virus, che è comunemente osservato dalla maggior parte dei gruppi criminali. Invece il gruppo usa Trojan progettati su misura che sono programmati per fornire carichi utili aggiuntivi ai computer di destinazione. Due di quelli rilevati lo sono TinyNode e TinyPosh.
Uno dei primi meccanismi utilizzati per intromettersi in una data rete è inviare un file messaggio di posta elettronica di phishing, che si spaccia come una fattura inviata da RBC Group, uno dei principali gruppi di media in Russia. A seconda della campagna attacco, il contenuto del messaggio può cambiare per truffare i destinatari facendogli credere che provenga da un istituto finanziario, un'azienda partner, cliniche dentali, clienti, etc. Una delle campagne più diffuse ha fatto uso di messaggi a tema COVID-19, che erano un meccanismo molto efficace per distribuire malware.
Il contenuto dei messaggi conterrà un collegamento o un file allegato per inviare i trojan sopra menzionati. Eseguiranno le loro sequenze incorporate; alla fine, l'agente client locale stabilirà una connessione sicura ai server controllati dagli hacker. Questa connessione persistente consente ai criminali di assumere il controllo delle macchine, spia sulle vittime, e installa il ransomware pertinente.
Gli attacchi del gruppo di hacker continuano con campagne e modelli di attacco diversi. Con ogni mezzo, gli hacker’ l'atteggiamento mostra che continueranno con i loro sforzi e tenteranno di intromettersi anche su altre reti.
Martin Beltov
Martin si è laureato con una laurea in Pubblicazione da Università di Sofia. Come un appassionato di sicurezza informatica si diletta a scrivere sulle ultime minacce e meccanismi di intrusione.
Seguimi: