Η ρωσόφωνη συμμορία πραγματοποίησε 16 κακόβουλες εκστρατείες σε μόλις δυόμισι χρόνια. Κυρίως εκβιάζουν ρωσικές οντότητες, αλλά προσπαθούν να εξερευνήσουν νέες γεωγραφίες στο μέλλον.
Για δεύτερη συνεχόμενη χρονιά, η OldGremlin ζήτησε τα υψηλότερα λύτρα από τις ρωσικές εταιρείες: τα μεγαλύτερα λύτρα ανήλθαν σε 4,2 εκατομμύρια δολάρια το 2021 και φέτος εκτοξεύτηκαν στα 16,9 εκατομμύρια δολάρια, δήλωσε η εταιρεία κυβερνοασφάλειας Group-IB.
Η Ρωσία έχει κάνει τα στραβά μάτια σε συμμορίες κυβερνοεγκληματιών, δεδομένου ότι στοχεύουν κυρίως αμερικανικές οντότητες.
Ωστόσο, αυτό το παράδειγμα έχει αρχίσει να αλλάζει, είπε η Group-IB. Το 2021, ο αριθμός των επιθέσεων ransomware σε ρωσικούς οργανισμούς υπερδιπλασιάστηκε και το OldGremlin είναι μεταξύ των πιο διαβόητων συμμοριών ransomware που στοχεύουν την περιοχή.
«Η OldGremlin κατέρριψε τον μύθο ότι οι ομάδες ransomware είναι αδιάφορες για τις ρωσικές εταιρείες», λέει ο Ivan Pisarev, Επικεφαλής της Ομάδας Ανάλυσης Dynamic Malware στο Group-IB. «Παρά το γεγονός ότι το OldGremlin έχει επικεντρωθεί στη Ρωσία μέχρι στιγμής, δεν πρέπει να υποτιμηθούν αλλού».
Η συμμορία έχει εξαπολύσει 16 επιθέσεις, με στόχο τράπεζες, logistics, μεταποιητικές, ασφαλιστικές, real estate και εταιρείες λογισμικού. Το 2020 κυνήγησε έναν κατασκευαστή όπλων.
«Σε αντίθεση με άλλους χειριστές ransomware που εμπλέκονται στο Big Game Hunting, η OldGremlin τείνει να κάνει μεγάλα διαλείμματα μετά από επιτυχημένες επιθέσεις», δήλωσε η Group-IB.
Οι ερευνητές παρατήρησαν ότι η OldGremlin ανέπτυξε το phishing για να αποκτήσει αρχική πρόσβαση και εκμεταλλεύτηκε τα συναισθήματα γύρω από τον COVID-19, την απομακρυσμένη εργασία και τις κυρώσεις. Προσποιήθηκαν αιτήματα συνεντεύξεων, εμπορικές προτάσεις και οικονομικά έγγραφα για να ξεγελάσουν τα θύματά τους ώστε να κατεβάσουν κακόβουλα αρχεία.
Παρατηρήθηκε ότι η OldGremlin στοχεύει δίκτυα που βασίζονται σε Windows, αλλά οι πιο πρόσφατες επιθέσεις τους δείχνουν ότι το οπλοστάσιό τους περιελάμβανε ransomware αφιερωμένο στο Linux.
«Ο παράγοντας των απειλών είναι ενημερωμένος για τις τελευταίες τάσεις στην κυβερνοασφάλεια και συνδυάζει επιτυχώς νέες μεθόδους με δοκιμασμένα εργαλεία όπως το Cobalt Strike και πλαίσια ανοιχτού κώδικα (π.χ. PowerSploit). Μία από τις μεθόδους κλιμάκωσης προνομίων που εντόπισε το Group-IB ήταν η εκμετάλλευση των τρωτών σημείων του Cisco AnyConnect. Για να διευκολύνει τις επιθέσεις, η OldGremlin ανέπτυξε ένα ολόκληρο πλαίσιο Tiny και στη συνέχεια το βελτίωνε με κάθε νέα καμπάνια», δήλωσε η Group IB, μοιράζοντας την αναφορά βασισμένη σε μια βαθιά κατάδυση και στις 16 καμπάνιες.