セキュリティ研究者は、ロシアの企業に対する危険で広範囲にわたる攻撃を検出しました, 背後にあるハッキンググループはOldGremlinとして知られています. ターゲットは、さまざまなセクターの多作企業です, ハッカーは、選択した武器としてさまざまなランサムウェアと関連するマルウェアを使用しているようです。.
OldGremlinHackingGroupが組織したランサムウェアキャンペーンの標的となったロシア企業
ロシアの企業は、ランサムウェア攻撃の新たな壊滅的な波の標的になっています. このニュースは、侵入が単一のハッキンググループに関連して追跡されていることを示すいくつかのレポートから発生しました. いわゆる OldGremlin, そしてそれは非常に経験豊富な集団によって組織されていると信じられています. 対象企業は業界の重要なセクターからのものです: 金融機関 (銀行を含む), 製造, ソフトウェア開発者, および医療研究所.
最初の攻撃は 追跡 今年の3月に始まりました. 既知の情報によると, キャンペーンはいくつかありました; 最初の侵入は8月に成功しました 11 臨床検査室に対して. これは、ハッカーが弱点を見つけるために戦略を継続的に監視および更新していることを示しています. 推測の1つは、犯罪者が別の国に切り替える前のテストとしてロシアのターゲットを使用しているというものです. ハッカーは複数のマルウェアを使用した高度な攻撃方法を使用しているようです. 主な目標は 複雑なランサムウェアを提供する 対象企業へ’ 内部ネットワーク. ターゲットユーザーを暗号化します’ データを取得し、被害者を恐喝して復号化の支払いを求めます.
OldGremlinハッキンググループとその浸透戦術
ハッカーが使用するメカニズムは、単純なブルートフォースアプローチや自動ウイルス展開ではありません。, これはほとんどの犯罪グループによって一般的に観察されます. 代わりに、グループは カスタム設計されたトロイの木馬 ターゲットコンピューターに追加のペイロードを配信するようにプログラムされています. 検出されたもののうちの2つは TinyNode と TinyPosh.
特定のネットワークに侵入するために使用される最初のメカニズムの1つは、 フィッシングメールメッセージ, これは、RBCグループから送信された請求書になりすます, ロシアの主要なメディアグループの1つ. 攻撃キャンペーンによって異なります, メッセージの内容が変更され、受信者が金融機関からのものであると信じ込ませる可能性があります, パートナー企業, 歯科医院, 顧客, 等. COVID-19をテーマにしたメッセージを利用した広範なキャンペーンの1つ, これはマルウェアを配信するための非常に効果的なメカニズムでした.
メッセージの内容には、上記のトロイの木馬を配信するためのリンクまたは添付ファイルが含まれます。. 組み込みのシーケンスを実行します; 最終的には, ローカルクライアントエージェントは、ハッカーが制御するサーバーへの安全な接続を確立します. この永続的な接続により、犯罪者はマシンの制御を追い越すことができます, 犠牲者をスパイする, 関連するランサムウェアをインストールします.
ハッキンググループによる攻撃は、さまざまなキャンペーンと攻撃モデルで継続されます. ぜひ, ハッカー’ 態度は、彼らが努力を続け、他のネットワークにも侵入しようとすることを示しています.