A medida que los ataques de ransomware contra la infraestructura crítica continúan aumentando en los últimos meses, los investigadores de seguridad cibernética han descubierto un nuevo participante que ha estado intentando activamente realizar ataques en varias etapas en grandes redes corporativas de laboratorios médicos, bancos, fabricantes y desarrolladores de software en Rusia.

La banda de ransomware, cuyo nombre en código es «OldGremlin» y que se cree que es un actor de amenazas de habla rusa, se ha relacionado con una serie de campañas al menos desde marzo, incluido un ataque exitoso contra un laboratorio de diagnóstico clínico que ocurrió el 11 de agosto del mes pasado.

«Hasta ahora, el grupo ha apuntado solo a empresas rusas, lo que era típico para muchos adversarios de habla rusa, como Silence y Cobalt, al comienzo de su camino criminal», dijo la firma de seguridad cibernética de Singapur Group-IB en un informe publicado hoy y compartido. con las noticias del hacker.

«Usando Rusia como campo de pruebas, estos grupos luego cambiaron a otras geografías para distanciarse de las acciones viciosas de la policía del país víctima y disminuir las posibilidades de terminar tras las rejas».

El modus operandi de OldGremlin implica el uso de puertas traseras personalizadas, como TinyNode y TinyPosh para descargar cargas útiles adicionales, con el objetivo final de cifrar archivos en el sistema infectado utilizando el ransomware TinyCryptor (también conocido como decr1pt) y mantenerlo como rehén por alrededor de $ 50,000.

Además, los operadores obtuvieron un punto de apoyo inicial en la red mediante un correo electrónico de phishing enviado en nombre del RBC Group de Rusia, un importante grupo de medios con sede en Moscú, con «Factura» en el asunto.

El mensaje informaba al destinatario de su incapacidad para contactar al colega de la víctima con respecto a un pago de factura urgente junto con un enlace malicioso para pagar la factura que, al hacer clic, descargaba el malware TinyNode.

Al encontrar su camino, el mal actor usó el acceso remoto a la computadora infectada, aprovechándolo para moverse lateralmente a través de la red a través de Cobalt Strike y recopilar datos de autenticación del administrador del dominio.

En una variante diferente del ataque observado en marzo y abril, se descubrió que los ciberdelincuentes usaban señuelos de phishing con temas de COVID para empresas financieras que se hacían pasar por una organización de microfinanzas rusa para entregar el troyano TinyPosh.

Posteriormente, se detectó una ola separada de la campaña el 19 de agosto, cuando los ciberdelincuentes enviaron mensajes de phishing dirigidos explotando las protestas en curso en Bielorrusia denunciando al gobierno, demostrando una vez más que los actores de amenazas son expertos en capitalizar los eventos mundiales en su beneficio.

En total, OldGremlin ha estado detrás de nueve campañas entre mayo y agosto, según Group-IB.

«Lo que distingue a OldGremlin de otros actores de amenazas de habla rusa es su valentía para trabajar en Rusia», dijo Oleg Skulkin, analista forense digital senior de Group-IB.

«Esto indica que los atacantes están afinando sus técnicas beneficiándose de la ventaja de jugar en casa antes de globalizarse, como fue el caso de Silence y Cobalt, o son representantes de algunos de los vecinos de Rusia que tienen un fuerte dominio del ruso».