OldGremlin
OldGremlin es el nombre que recibe un nuevo grupo de hackers cuyas operaciones fueron descubiertas por expertos en ciberseguridad. Hasta ahora, las actividades de OldGremlin se han localizado relativamente, dirigidas únicamente a organizaciones rusas. Dado que los piratas informáticos pertenecientes a OldGremlin parecen saber ruso con fluidez, parece que no se están adhiriendo a la regla que siguen incluso otros grupos de piratas informáticos más grandes: no apuntar a países rusos o postsoviéticos. Una explicación podría ser que OldGremlin está aprovechando su importante conocimiento sobre la actualidad de Rusia para posicionar mejor sus intentos de spear-phishing para tener éxito, al mismo tiempo que ajusta sus métodos de ataque y herramientas de malware.
OldGremlin adapta rápidamente eventos actuales para ataques de phishing
De hecho, en las diversas campañas de amenaza que se han detectado, el grupo ha mostrado un conocimiento considerable y ha aprovechado tácticas avanzadas de ingeniería social para afianzarse dentro de las empresas objetivo. En la primera campaña atribuida al grupo, OldGremlin se dirigió a una gran organización médica enviando un correo electrónico de phishing en el que se hacía pasar por el holding de medios RBC. Cuando COVID-19 completó el ciclo de noticias, los piratas informáticos cambiaron sus tácticas y comenzaron a enviar correos electrónicos que supuestamente eran de la organización Mikrofinansirovaniye i Razvitiye (SRO MiR) y contenían instrucciones falsas sobre cómo generar un entorno de trabajo seguro en medio de la pandemia. . Se volvió a utilizar el mismo método de phishing, pero esta vez los delincuentes se hicieron pasar por la clínica dental Novadent.
Cuando comenzaron las protestas en Bielorrusia, OldGremlin se apresuró a aprovechar la nueva situación. Los piratas informáticos crearon rápidamente una nueva serie de correos electrónicos de phishing, esta vez pretendiendo ser enviados por el director ejecutivo de Minsk Tractor Works (MTZ). El nombre utilizado para los correos electrónicos era 'Alesya Vladimirovna' o 'AV Volokhina', que son personalidades falsas, mientras que el verdadero director ejecutivo de la empresa se llama Vitaly Vovk. En los correos electrónicos que OldGremlin difundió a varias organizaciones financieras rusas, los piratas informáticos que se hicieron pasar por MTZ, afirmaron que estaban siendo inspeccionados por un fiscal debido a su presunta participación en la protesta. Pidieron a las empresas objetivo que proporcionaran documentos adicionales. En el proceso, las redes internas de las empresas se vieron comprometidas.
OldGremilin emplea una combinación de herramientas de malware de desarrollo propio junto con software de terceros
Después de un ataque de phishing exitoso, OldGremlin establece un punto de apoyo dentro de la red de la compañía al instalar una de las dos piezas de malware de puerta trasera creadas a medida llamadas TinyNode y TinyPosh. TinyPosh, por ejemplo, es capaz de lograr la persistencia dentro del sistema, escalar los privilegios de la cuenta desde la que se ejecutó y es capaz de lanzar la carga útil Cobalt Strike Beacon. Para ocultar la dirección real de C&C, los piratas informáticos utilizaron el servidor Cloudflare Workers. Según los expertos de Group-IB, para ocultar los servidores de comando y control utilizados para las campañas, OldGremlin empleó el servidor Cloudflare Workers. En cuanto a TinyNode, se utiliza principalmente para descargar y ejecutar módulos de malware adicionales.
Una vez dentro, los piratas informáticos comienzan a moverse lateralmente a través de la red comprometida para buscar objetivos específicos. Para asegurarse de que sus acciones dejen una huella limitada, utilizan el marco Cobalt Strike. En la campaña de ataque contra la organización médica, OldGremlin acechó a través de la red durante semanas hasta que obtuvo las credenciales de administrador de dominio. Después de eso, los piratas informáticos eliminaron todas las copias de seguridad de los sistemas e implementaron una amenaza de ransomware personalizada llamada TinyCryptor (también conocida como TinyCrypt / TInyCryptor / Decr1pt Ransomware). Para esta campaña en particular, los delincuentes exigieron el pago de $ 50 000 en criptomonedas y utilizaron una dirección de ProtonMail para contactar.
