ldgremlin Ransomware以数百万计的计划针对十几个俄罗斯实体
在长达两年半的时间里,一个被称为”奥尔德·格林”的俄语赎金组织被归因于16次针对横跨欧亚大陆的实体的恶意运动。
Group – IB在与《黑客新闻》( The Hacker News )分享的详尽报告中说,该集团的受害者包括物流、工业、保险、零售、房地产、软件开发和银行业等行业的公司。在2020年,该集团甚至瞄准了一家武器制造商。
OldGremlin (又名TinyScouts )是少数以金融为动机的网络犯罪团伙之一,主要集中在俄罗斯公司。
其他值得注意的团体包括Dharma、Crylock和Thanos,导致2021年针对该国企业的勒索软件袭击增加了200 %以上。
奥尔德格林( OldGremlin )于2020年9月首次曝光,当时这家总部位于新加坡的网络安全公司披露了该演员在5月至8月期间策划的9场活动。2020年4月初首次发现袭击。
据说,该集团在2020年共进行了10次钓鱼电子邮件活动,随后在2021年进行了一次非常成功的袭击,2022年又发生了5次袭击,赎金需求达到创纪录的1,690万美元,并使该行为者获得了高达3,000万美元的非法收入。
“老格里姆林宫对他们的受害者进行了彻底的研究,” IB集团解释说。因此,索要的赎金往往与公司的规模和收入成正比,而且明显高于确保适当水平的信息安全所必需的预算。
奥德格林( OldGremlin )发起的攻击主要针对在Windows上运行的企业网络,利用伪装成税务和法律服务公司的网络钓鱼电子邮件,诱骗受害者点击欺诈链接和下载恶意文件,使攻击者能够在网络中蠕虫。
IB集团说,威胁行为者往往是知名公司,包括媒体集团RBC、法律援助系统咨询公司、1C – Bitrix公司、俄罗斯工业家和企业家联盟以及明斯克拖拉机厂。
在获得初始立足点后,OldGremlin通过创建计划任务来建立持久性,使用Cobalt Stroke获得提升的权限,甚至在Cisco AnyConnect ( CVE – 2020 – 3153和CVE – 2020 – 3433)中存在缺陷,同时还使用TeamViewer等工具获得对受损基础设施的远程访问。
Group – IB的数字取证和事件响应团队负责人奥列格·斯库尔金( Oleg Skulkin )在接受《黑客新闻》采访时说,”大约30 %的袭击事件使奥尔德·格林林获得了最初的访问,并开始了后开发。在大约10 %的情况下,威胁行为者能够在整个企业范围内部署赎金。
使船员从其他勒索软件集团中脱颖而出的一些方面是,它不依靠双重勒索来胁迫目标公司支付尽管渗出数据。在每次成功的攻击之后,也观察到了长时间的休息。
更重要的是,截至赎金部署的平均驻留时间为49天,远远高于报告的11天中位数驻留时间,这表明部分行为者努力检查被破坏的域名(它是通过一个名为TinyScout的工具实现的)。
OldGremlin最近的钓鱼浪潮发生在2022年8月23日,电子邮件嵌入链接指向Dropbox上托管的ZIP存档负载以激活杀毒链。
反过来,这些存档文件包含一个名为TinyLink的流氓LNK文件,该文件在删除数据备份和删除备份之前下载一个名为TinyFluff的后门,它是该组使用的四个植入物之一:TinyPosh、TinyNode和TinyShell。基于Net的Tinycrypt勒索软件。
TinyPosh:PowerShell木马旨在收集和传输受感染系统的敏感信息到远程服务器,并启动额外的PowerShell脚本。
TinyNode:后门,通过Tor网络运行Node . js解释器执行从总量控制( C2 )服务器接收的命令。
TinyFluff:TinyNode的继承者,它用作接收和运行恶意脚本的主要下载器。
OldGremlin还使用了其他工具,如TinyShot,一个用于捕获屏幕截图的控制台实用程序TinyKiller,它通过针对gdrv . sys和RTCore64 . sys驱动程序的自带易受攻击驱动程序( BYOVD )攻击来杀死防病毒进程。
值得注意的是,BlackByte勒索软件组背后的操作员最近也被发现利用RTCore64 . sys驱动程序中的相同缺陷来关闭入侵机器中的安全解决方案。
奥德格林在攻击中使用的另一个不寻常的应用是aNET控制台应用程序称为TinyIsolator,在执行勒索软件之前通过禁用网络适配器将主机从网络中暂时切断。
除此之外,该集团的恶意软件库还包括一个Linux版本的TinyCrypt,它是用Go编程语言编写的,并在删除. bash _ history文件、更改用户密码以限制对受损主机的访问以及禁用SSH后启动。
Group – IB动态恶意软件分析团队负责人Ivan皮萨列夫说,OldGremlin揭穿了勒索软件集团对俄罗斯公司漠不关心的神话。
