Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • OldGremlin Ransomware dirigido a más de una docena de entidades rusas en un esquema multimillonario
  • Tecnología

OldGremlin Ransomware dirigido a más de una docena de entidades rusas en un esquema multimillonario

teknomers 20 de Ekim de 2022 (Last updated: 20 de Ekim de 2022) 5 minutes read
OldGremlin Ransomware dirigido a más de una docena de entidades


Un grupo de ransomware de habla rusa denominado viejogremlin se ha atribuido a 16 campañas maliciosas dirigidas a entidades que operan en la nación euroasiática transcontinental en el transcurso de dos años y medio.

“Las víctimas del grupo incluyen empresas de sectores como logística, industria, seguros, comercio minorista, bienes raíces, desarrollo de software y banca”, Group-IB dijo en un informe exhaustivo compartido con The Hacker News. “En 2020, el grupo incluso apuntó a un fabricante de armas”.

En lo que es una rareza en el panorama del ransomware, OldGremlin (también conocido como TinyScouts) es una de las pocas pandillas de delitos cibernéticos con motivación financiera que se enfoca principalmente en empresas rusas.

Otros grupos notables son Dharma, Crylock y Thanos, que contribuyeron a un aumento de los ataques de ransomware dirigidos a empresas del país en más del 200 % en 2021.

OldGremlin salió a la luz por primera vez en septiembre de 2020 cuando la empresa de ciberseguridad con sede en Singapur reveló nueve campañas orquestadas por el actor entre mayo y agosto. El primer ataque se detectó a principios de abril de 2020.

En total, se dice que el grupo realizó 10 campañas de correo electrónico de phishing en 2020, seguidas de un ataque de gran éxito en 2021 y cinco más en 2022, con demandas de rescate que alcanzaron un récord de $ 16,9 millones.

“OldGremlin estudia a fondo a sus víctimas”, explicó Group-IB. “Por lo tanto, el rescate exigido suele ser proporcional al tamaño y los ingresos de la empresa y, obviamente, es superior al presupuesto necesario para garantizar un nivel adecuado de seguridad de la información”.

La seguridad cibernética

Conocidos por apuntar principalmente a redes empresariales que se ejecutan en Windows, los ataques montados por OldGremlin han aprovechado los correos electrónicos de phishing que se hacen pasar por compañías de servicios legales y de impuestos para engañar a las víctimas para que hagan clic en enlaces fraudulentos y descarguen archivos maliciosos, lo que permite a los atacantes infiltrarse en las redes.

“Los actores de amenazas a menudo se hacen pasar por empresas conocidas, incluido el grupo de medios RBC, el sistema de asistencia legal Consultant Plus, la empresa 1C-Bitrix, la Unión Rusa de Industriales y Empresarios y Minsk Tractor Works”, dijo Group-IB.

Al obtener un punto de apoyo inicial, OldGremlin se mueve para establecer la persistencia creando tareas programadas, obteniendo privilegios elevados usando Cobalt Stroke e incluso fallando en Cisco AnyConnect (CVE-2020-3153 y CVE-2020-3433), al tiempo que obtiene acceso remoto a la infraestructura comprometida utilizando herramientas como TeamViewer.

Algunos de los aspectos que hacen que la tripulación se destaque de otros grupos de ransomware es que no se basa en la doble extorsión para obligar a las empresas objetivo a pagar a pesar de la extracción de datos. También se ha observado que toma largos descansos después de cada ataque exitoso.

Además, el tiempo de permanencia promedio hasta la implementación del ransomware se fijó en 49 días, muy por encima de lo informado. Tiempo medio de permanencia de 11 díaslo que sugiere mayores esfuerzos por parte del actor para examinar el dominio violado (que se logra mediante una herramienta llamada TinyScout).

La ola de phishing más reciente de OldGremlin ocurrió el 23 de agosto de 2022, con correos electrónicos que incorporaban enlaces que apuntaban a una carga útil de archivo ZIP alojada en Dropbox para activar la cadena de eliminación.

Estos archivos, a su vez, albergan un archivo LNK malicioso (denominado TinyLink) que descarga una puerta trasera llamada TinyFluff, que es uno de los cuatro implantes utilizados por el grupo: TinyPosh, TinyNode y TinyShell, antes de eliminar las copias de seguridad de datos y soltar el archivo . Ransomware TinyCrypt basado en NET.

  • TinyPosh: un troyano de PowerShell diseñado para recopilar y transferir información confidencial sobre el sistema infectado a un servidor remoto y ejecutar secuencias de comandos adicionales de PowerShell.
  • TinyNode: una puerta trasera que ejecuta el intérprete de Node.js para ejecutar los comandos recibidos de un servidor de comando y control (C2) a través de la red Tor.
  • TinyFluff: A sucesor a TinyNode, que se utiliza como descargador principal para recibir y ejecutar scripts maliciosos.

OldGremlin también utiliza otras herramientas como TinyShot, una utilidad de consola para capturar capturas de pantalla, TinyKiller, que elimina los procesos antivirus a través de un ataque BYOVD (traiga su propio controlador vulnerable) dirigido a los controladores gdrv.sys y RTCore64.sys.

La seguridad cibernética

Vale la pena señalar que los operadores detrás del grupo de ransomware BlackByte también fueron descubiertos recientemente aprovechando la misma falla en el controlador RTCore64.sys para desactivar las soluciones de seguridad en las máquinas pirateadas.

Otra aplicación inusual utilizada por OldGremlin en sus ataques es una aplicación de consola .NET llamada TinyIsolator, que desconecta temporalmente el host de la red al deshabilitar los adaptadores de red antes de ejecutar el ransomware.

Además de eso, el arsenal de malware del grupo incluye una versión Linux de TinyCrypt, que está escrito en GO y se inicia después de eliminar los archivos .bash_history, cambiar las contraseñas de los usuarios para limitar el acceso al host comprometido y deshabilitar SSH.

“OldGremlin ha desacreditado el mito de que los grupos de ransomware son indiferentes a las empresas rusas”, dijo Ivan Pisarev, jefe del equipo de análisis dinámico de malware en Group-IB.

“A pesar de que OldGremlin se ha centrado en Rusia hasta ahora, no deben subestimarse en otros lugares. Muchas pandillas de habla rusa comenzaron apuntando a empresas en el espacio postsoviético y luego cambiaron a otras geografías”.



ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Roel Boomstra y Jitse Slump damas para la victoria general de la Copa del Mundo en Beilen
Next: La FIA hace una propuesta de acuerdo con Red Bull Racing después de un exceso de presupuesto

Related Stories

Brave retoma una idea originada en Mozilla, y podría transformar
  • Tecnología

Brave retoma una idea originada en Mozilla, y podría transformar tu navegación diaria.

teknomers 5 de Temmuz de 2026
Alerta de astrónomos: los data centers orbitales de Elon Musk
  • Tecnología

Alerta de astrónomos: los data centers orbitales de Elon Musk podrían cegar los más grandes telescopios de la Tierra

teknomers 5 de Temmuz de 2026
Windows 11: cómo organizar fácilmente tus ventanas con PowerToys FancyZones
  • Tecnología

Windows 11: cómo organizar fácilmente tus ventanas con PowerToys FancyZones

teknomers 5 de Temmuz de 2026

You May Have Missed

  • General

«Albania no está en venta»: manifestaciones masivas en Tirana contra un proyecto inmobiliario controvertido relacionado con la familia Trump

teknomers 5 de Temmuz de 2026
  • General

¿Cómo se atreve…?: La esposa de Mamdani enfrenta críticas por ‘abandonar’ America 250 para un retiro islámico – Teknomers

teknomers 5 de Temmuz de 2026
  • Deporte

Super League: Wigan 16-14 St Helens – Los Warriors se imponen en un clásico derby en el Magic Weekend

teknomers 5 de Temmuz de 2026
  • General

Refrán del día: ‘Un caballo con dos maestros siempre…’ Lecciones de vida de un proverbio chino sobre lealtad dividida, enfoque, cadena de mando, alineación auténtica, responsabilidad y liderazgo en conflicto.

teknomers 5 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.