A medida que los ataques de ransomware contra la infraestructura crítica continúan aumentando en los últimos meses, los investigadores de ciberseguridad han descubierto un nuevo participante que ha estado tratando activamente de realizar ataques de múltiples etapas en grandes redes corporativas de laboratorios médicos, bancos, fabricantes y desarrolladores de software en Rusia.
La banda de ransomware, cuyo nombre en código es “OldGremlin” y se cree que es un actor de amenazas de habla rusa, ha estado vinculada a una serie de campañas al menos desde marzo, incluido un ataque exitoso contra un laboratorio de diagnóstico clínico que ocurrió el mes pasado el 11 de agosto.
“El grupo se ha dirigido solo a empresas rusas hasta ahora, lo que era típico de muchos adversarios de habla rusa, como Silence y Cobalt, , al comienzo de su camino delictivo”, dijo la firma de ciberseguridad de Singapur Group-IB en un informe publicado hoy. “Usando Rusia como campo de pruebas, estos grupos luego cambiaron a otras geografías para distanciarse de las acciones de la policía del país víctima y disminuir las posibilidades de terminar tras las rejas”.
El modus operandi de OldGremlin implica el uso de puertas traseras personalizadas, como TinyNode y TinyPosh para descargar cargas útiles adicionales, con el objetivo final de cifrar archivos en el sistema infectado utilizando el ransomware TinyCryptor (también conocido como decr1pt) y mantenerlo como rehén por aproximadamente U$S 50.000.
Además, los operadores ganaron un punto de apoyo inicial en la red mediante un correo electrónico de phishing enviado en nombre del grupo ruso RBC, un importante grupo de medios con sede en Moscú, con “Factura” en el asunto. El mensaje informa al destinatario de su incapacidad para comunicarse y la necesidad del pago de una factura urgente junto con un enlace malicioso para pagar dicha factura que, al hacer clic, descarga el malware TinyNode.
El atacante luego accede de forma remota a la computadora infectada, aprovechándolo para moverse lateralmente a través de la red a través de Cobalt Strike y recopilar datos de autenticación del administrador del dominio.
En una variante diferente del ataque observado en marzo y abril, se descubrió que los ciberdelincuentes utilizaban señuelos de phishing con temática de COVID para empresas financieras que se hacían pasar por una organización de microfinanzas rusa para entregar el troyano TinyPosh.
Posteriormente, se detectó una ola separada de la campaña el 19 de agosto, cuando los ciberdelincuentes enviaron mensajes de spear-phishing explotando las protestas en curso en Bielorrusia denunciando al gobierno, demostrando una vez más que los actores de amenazas son expertos en capitalizar los eventos mundiales para su beneficio.
En total, OldGremlin ha estado detrás de nueve campañas entre mayo y agosto, según Group-IB. “Lo que distingue a OldGremlin de otros actores de amenazas de habla rusa es su valentía para trabajar en Rusia”, dijo Oleg Skulkin, analista forense digital senior de Group-IB.
“Esto indica que los atacantes están afinando sus técnicas beneficiándose de la ventaja de jugar en casa antes de volverse globales, como fue el caso de Silence y Cobalt, o son representantes de algunos de los vecinos de Rusia que tienen un fuerte dominio del ruso”.