Beveiligingsonderzoekers hebben een gevaarlijke en wijdverbreide aanval op bedrijven in Rusland ontdekt, de hackgroep erachter staat bekend als OldGremlin. De doelwitten zijn productieve bedrijven in verschillende sectoren, en de hackers lijken verschillende ransomware en aanverwante malware te gebruiken als hun favoriete wapens.
Russische bedrijven doelwit van ransomwarecampagne georkestreerd door OldGremlin Hacking Group
Russische bedrijven zijn het doelwit geworden van een nieuwe verwoestende golf van ransomwareaanvallen. Dit nieuws kwam uit verschillende rapporten die aangeven dat de inbraken gerelateerd zijn aan en opgespoord zijn tot een enkele hackgroep. Het heet Old Gremlin, en men gelooft dat het wordt georganiseerd door een zeer ervaren collectief. De doelbedrijven zijn afkomstig uit essentiële sectoren van de industrie: financiële instellingen (inclusief banken), fabricage, software ontwikkelaars, en medische laboratoria.
De eerste aanvallen zijn geweest gevolgd om in maart van dit jaar te zijn begonnen. Volgens de bekende informatie, de campagnes zijn verschillende geweest; de eerste succesvolle inbraak vond plaats in augustus 11 tegen een klinisch laboratorium. Dit toont aan dat hackers hun strategie continu volgen en updaten om een zwakte te vinden. Een van de speculaties is dat de criminelen Russische doelen als test gebruiken voordat ze naar een ander land overstappen. Het blijkt dat de hackers een geavanceerde aanvalsmethode gebruiken met meerdere malware. Het belangrijkste doel is om leveren complexe ransomware aan de beoogde bedrijven’ interne netwerken. Ze zullen doelgebruikers versleutelen’ gegevens en vervolgens de slachtoffers afpersen voor een decoderingsbetaling.
OldGremlin Hacking Group en hun infiltratietactieken
Het mechanisme dat door de hackers wordt gebruikt, is niet de simpele brute force-aanpak en de automatische implementatie van virussen, wat vaak wordt waargenomen door de meeste criminele groepen. In plaats daarvan gebruikt de groep op maat gemaakte Trojaanse paarden die zijn geprogrammeerd om extra ladingen te leveren aan de doelcomputers. Twee van de gedetecteerde zijn TinyNode en TinyPosh.
Een van de eerste mechanismen die wordt gebruikt om een bepaald netwerk binnen te dringen, is het verzenden van een phishing-e-mailbericht, die zich voordoet als een factuur verzonden door de RBC Group, een van de belangrijkste mediagroepen in Rusland. Afhankelijk van de aanval campagne, de inhoud van het bericht kan veranderen om de ontvangers te laten geloven dat het afkomstig is van een financiële instelling, een partnerbedrijf, tandheelkundige klinieken, klanten, etc. Een van de wijdverbreide campagnes maakte gebruik van COVID-19-themaboodschappen, die een zeer effectief mechanisme waren om malware af te leveren.
De inhoud van de berichten bevat een link of een bijgevoegd bestand om de bovengenoemde Trojaanse paarden te bezorgen. Ze zullen hun ingebouwde sequenties uitvoeren; uiteindelijk, de lokale cliëntagent zal een veilige verbinding tot stand brengen met de door hackers gecontroleerde servers. Door deze aanhoudende verbinding kunnen de criminelen de controle over de machines overnemen, spion op de slachtoffers, en installeer de relevante ransomware.
De aanvallen van de hackgroep gaan door met verschillende campagnes en aanvalsmodellen. In ieder geval, de hackers’ houding laat zien dat ze door zullen gaan met hun inspanningen en ook zullen proberen binnen te dringen in andere netwerken.
Martin Beltov
Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.
Volg mij: