lunes, 28 de septiembre de 2020

Aparece un nuevo grupo de ransomware soviético, OldGremlin

OldGremlin

        Tras unos meses donde los ataques de ransomware son cada vez más populares, los investigadores de ciberseguridad han descubierto un nuevo software en Rusia, el cual ha estado tratando activamente de realizar ataques a desarrolladores de software, bancos, grandes redes corporativas de laboratorios médicos y fabricantes.

OldGremlin, el nombre en código que se le ha atribuido a la banda de ransomware, ha estado desde marzo lanzando campañas intentado conseguir ataques con éxito, incluyendo un ataque exitoso contra un laboratorio de diagnóstico clínico que sucedió el 11 de agosto.

Según informo la firma de ciberseguridad de Singapur Group-IB en un informe la semana pasada, el grupo de momento solo se ha dirigido a empresas rusas, como bien hicieron en su comienzo Silence y Cobalt. Además, añadió que están usando Rusia como un campo de pruebas, para posteriormente cambiar a otras geografías.

OldGremlin utiliza TinyNode y TinyPosh para crear puertas traseras, para posteriormente utilizar el ransomware TinyCryptor (también conocido como decr1pt) para cifrar archivos en el sistema infectado y mantener como rehén para pedir un rescate monetario.

Además, el grupo utilizo el nombre de un importante grupo de medios con sede en Moscú llamado RBC en una campaña de phishing vía correo electrónico. En el correo con asunto “Factura” indicaba al destinatario la necesidad del pago de una factura urgente en una URL la cual es maliciosa, y al hacer clic, descarga el malware TinyNode.

Una vez infectado con TinyNode el atacante accede al dispositivo de forma remota, para moverse a través de la red utilizando Cobalt Strike, con la finalidad de conseguir datos de autenticación del administrador del dominio.

En una de las variantes, los ciberdelincuentes utilizaban campañas de phishing con temática de COVID para empresas financieras, haciéndose pasar por una organización de microfinanzas rusas.

Otra de las variantes utilizadas en una campaña el 19 de agosto, los ciberdelincuentes utilizaron spear-pishing con un mensaje explotando las protestas en curso en Bielorrusia, demostrando otra vez más que los atacantes son expertos en el uso de la ingeniería social a su favor.

Según informa Group-IB, este grupo habría estado detrás de nueve campañas entre mayo y agosto.

No hay comentarios:

Publicar un comentario