Злоумышленники в ходе своих атак используют новый вид вымогателя под названием TinyCryptor.
Специалисты из ИБ-компании Group-IB рассказали о новой русскоязычной киберпреступной группировке, которая в течение последних шести месяцев неоднократно и целенаправленно атаковала российские компании и организации с помощью вредоносных программ и вымогательского ПО.
Как сообщили эксперты, группировка, получившая название OldGremlin, в ходе своих атак использует новый вид вымогателя TinyNode, выполняющий функцию первичного загрузчика, который позволяет скачивать и запускать другие вредоносные программы.
Атаки OldGremlin обычно начинаются с целенаправленного фишинга. Электронные письма содержат зараженные вредоносным ПО ZIP-файлы, которые обычно устанавливают на системы организаций-жертв троян-бэкдор TinyNode. Таким образом злоумышленники проникают в сети компании и начинают перемещаться на другие системы, а затем развертывают программы-вымогатели на заключительном этапе своих атак.
Зашифровав данные компании, преступники из OldGremlin обычно требуют выкуп в размере около $50 тыс. за расшифровку информации.
Специалисты из Group-IB идентифицировали группировку OldGremlin в августе нынешнего года, но атаки датируются мартом. В своих фишинговых письмах преступники использовали самые разные приманки, начиная от выдачи себя за журналистов и заканчивая использованием антиправительственных митингов в Беларуси в качестве темы для разговора. OldGremlin провела как минимум девять вредоносных кампаний по рассылке фишинговых писем якобы от имени Союза микрофинансовых организаций «МиР», российского металлургического холдинга, белорусского завода «МТЗ», стоматологической клиники, а также медиахолдинга РБК.
У российских хакеров есть негласное правило не работать в России и постсоветских странах. OldGremlin — единственная на данный момент активная русскоязычная группировка-оператор шифровальщика, которая несмотря на «негласный запрет» совершает многоступенчатые целевые атаки на российские компании и банки, используя сложные тактики и техники.
Живой, мертвый или в суперпозиции? Узнайте в нашем канале