Group-IB зафиксировала атаку преступной группы OldGremlin на российские компании

Жертвой хакеров стала крупная медицинская компания

МОСКВА, 23 сентября. /ТАСС/. Специализирующаяся на предотвращении кибератак международная компания Group-IB зафиксировала успешную атаку преступной группы OldGremlin на российскую медицинскую компанию, а также ряд финансовых организаций. Об этом ТАСС в среду сообщили в пресс-службе Group-IB.
Отмечается, что в августе 2020 г. в ходе исследования инцидента специалистами Group-IB Threat Intelligence cтали известны подробности удачной атаки преступной группы, получившей название OldGremlin. Жертвой хакеров стала крупная медицинская компания с сетью региональных филиалов. Атака началась с вредоносной рассылки - фишингового письма, написанного якобы от медиахолдинга РБК. 

"Как установили в Group-IB, на первоначальном этапе атакующие использовали уникальный самописный бэкдор TinyNode, выполняющий функцию первичного загрузчика, который позволяет скачивать и запускать другие вредоносные программы. С его помощью злоумышленники получили удаленный доступ к зараженному компьютеру жертвы, который выступал в качестве плацдарма для разведки, сбора данных и дальнейшего продвижения по сети организации", - пояснили в Group-IB.
Через несколько недель после начала атаки злоумышленники удалили резервные копии организации для того, чтобы лишить ее возможности восстановления данных. С того же сервера в один из выходных дней за несколько часов они распространили свой вирус-шифровальщик TinyCryptor на сотни компьютеров корпоративной сети. В результате атаки работа региональных подразделений компании была парализована - за расшифровку данных злоумышленники потребовали $50 000 в криптовалюте.

Другие атаки

По оценкам Group-IB, начиная с весны этого года OldGremlin провела как минимум 9 кампаний по рассылке вредоносных писем якобы от имени Союза микрофинансовых организаций "МиР", российского металлургического холдинга, белорусского завода "МТЗ", стоматологической клиники, медиахолдинга РБК и других.
Первая атака OldGremlin была зафиксирована в конце марта - начале апреля 2020 года. Используя актуальную тему с коронавирусом, злоумышленники от имени Союза микрофинансовых организаций "МиР" разослали по финансовым организациям рекомендации по обеспечению безопасной работы в период пандемии. Именно тогда впервые атакующими был использован другой самописный бэкдор - TinyPosh, который также по команде управляющего сервера позволяет скачивать и запускать другие вредоносные программы. 

Вторая атака с его участием произошла 24 апреля. Схема была примерно та же, что и в первый раз, но отправителем выступала стоматологическая клиника.
"Две недели спустя OldGremlin решили сменить тактику. Они подготовили фейковое письмо от имени российской журналистки РБК, которая якобы приглашала получателей принять участие в "Всероссийском исследовании банковского и финансового сектора во время пандемии коронавируса". "Журналистка" назначала потенциальной жертве (банку) 30-минутное интервью. Специально для проведения атаки хакеры создали календарь, в котором и назначали встречу жертве. В отличие от первых писем, сообщение от корреспондента РБК было довольно точно подделано под рассылку медиахолдинга и написано хорошим русским языком", - пояснили в Group-IB, уточнив, что открытие ссылки в письме приводило к тому, что на машину жертвы загружался троян.

После этого 13 и 14 августа 2020 CERT-GIB зафиксировал две масштабные рассылки вредоносных писем, но на этот раз от имени металлургической компании и вновь от РБК. За двое суток преступники разослали около 250 писем, нацеленных на российские компании из финансовой и производственной отраслей.

Источник: ТАСС