Tras unos meses donde los ataques de ransomware son cada vez
más populares, los investigadores de ciberseguridad han descubierto un nuevo software
en Rusia, el cual ha estado tratando activamente de realizar ataques a desarrolladores
de software, bancos, grandes redes corporativas de laboratorios médicos y
fabricantes.
OldGremlin, el nombre en código que se le ha atribuido a la
banda de ransomware, ha estado desde marzo lanzando campañas intentado
conseguir ataques con éxito, incluyendo un ataque exitoso contra un laboratorio
de diagnóstico clínico que sucedió el 11 de agosto.
Según informo la firma de ciberseguridad de Singapur Group-IB
en un informe la semana pasada, el grupo de momento solo se ha dirigido a empresas
rusas, como bien hicieron en su comienzo Silence y Cobalt. Además, añadió que
están usando Rusia como un campo de pruebas, para posteriormente cambiar a
otras geografías.
OldGremlin utiliza TinyNode y TinyPosh para crear puertas
traseras, para posteriormente utilizar el ransomware TinyCryptor (también
conocido como decr1pt) para cifrar archivos en el sistema infectado y mantener
como rehén para pedir un rescate monetario.
Además, el grupo utilizo el nombre de un importante grupo de
medios con sede en Moscú llamado RBC en una campaña de phishing vía correo
electrónico. En el correo con asunto “Factura” indicaba al destinatario la
necesidad del pago de una factura urgente en una URL la cual es maliciosa, y al
hacer clic, descarga el malware TinyNode.
Una vez infectado con TinyNode el atacante accede al
dispositivo de forma remota, para moverse a través de la red utilizando Cobalt Strike,
con la finalidad de conseguir datos de autenticación del administrador del dominio.
En una de las variantes, los ciberdelincuentes utilizaban
campañas de phishing con temática de COVID para empresas financieras, haciéndose
pasar por una organización de microfinanzas rusas.
Otra de las variantes utilizadas en una campaña el 19 de
agosto, los ciberdelincuentes utilizaron spear-pishing con un mensaje
explotando las protestas en curso en Bielorrusia, demostrando otra vez más que
los atacantes son expertos en el uso de la ingeniería social a su favor.
Según informa Group-IB, este grupo habría estado detrás de
nueve campañas entre mayo y agosto.