Pesquisadores de segurança detectaram um ataque perigoso e generalizado contra empresas na Rússia, o grupo de hackers por trás é conhecido como OldGremlin. Os alvos são empresas prolíficas em diferentes setores, e os hackers parecem estar usando ransomware diferente e malware relacionado como suas armas de escolha.
Empresas russas visadas pela campanha de ransomware orquestrada pelo OldGremlin Hacking Group
Empresas russas se tornaram o alvo de uma nova onda devastadora de ataques de ransomware. Esta notícia surgiu de vários relatórios indicando que as intrusões estão relacionadas e rastreadas até um único grupo de hackers. Ele é chamado OldGremlin, e acredita-se que seja organizado por um coletivo muito experiente. As empresas-alvo são de setores essenciais da indústria: instituições financeiras (incluindo bancos), fabrico, desenvolvedores de software, e laboratórios médicos.
Os primeiros ataques foram monitorados ter começado em março deste ano. De acordo com as informações conhecidas, as campanhas foram várias; a primeira intrusão bem-sucedida foi feita em agosto 11 contra um laboratório clínico. Isso mostra que os hackers estão continuamente monitorando e atualizando sua estratégia para encontrar uma fraqueza. Uma das especulações é que os criminosos usem alvos russos como teste antes de mudar para outro país. Parece que os hackers estão usando um método de ataque sofisticado com vários malwares. O objetivo principal é entregar ransomware complexo para as empresas-alvo’ redes internas. Eles criptografarão os usuários-alvo’ dados e, em seguida, extorquir as vítimas para um pagamento de descriptografia.
OldGremlin Hacking Group e suas táticas de infiltração
O mecanismo usado pelos hackers não é a abordagem simples de força bruta e implantação automática de vírus, que é comumente observado pela maioria dos grupos criminosos. Em vez disso, o grupo usa Trojans com design personalizado que são programados para fornecer cargas úteis adicionais aos computadores de destino. Dois dos detectados são TinyNode e TinyPosh.
Um dos primeiros mecanismos usados para invadir uma determinada rede é enviar um mensagem de e-mail de phishing, que se faz passar por uma fatura enviada pelo Grupo RBC, um dos principais grupos de mídia na Rússia. Dependendo da campanha de ataque, o conteúdo da mensagem pode mudar para enganar os destinatários fazendo-os acreditar que se trata de uma instituição financeira, uma empresa parceira, clínicas dentárias, clientes, etc. Uma das campanhas mais difundidas fez uso de mensagens com o tema COVID-19, que foram um mecanismo muito eficaz para entregar malware.
O conteúdo das mensagens conterá um link ou um arquivo anexado para entregar os cavalos de Tróia mencionados acima. Eles irão executar suas sequências integradas; No final, o agente cliente local estabelecerá uma conexão segura com os servidores controlados por hackers. Esta conexão persistente permite que os criminosos assumam o controle das máquinas, espionar as vítimas, e instalar o ransomware relevante.
Os ataques do grupo de hackers continuam com diferentes campanhas e modelos de ataque. Por todos os meios, os hackers’ atitude mostra que eles continuarão com seus esforços e tentarão se intrometer em outras redes também.
Martin Beltov
Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.
Me siga: