Un grupo de ransomware de habla rusa denominado viejogremlin se ha atribuido a 16 campañas maliciosas dirigidas a entidades que operan en la nación euroasiática transcontinental en el transcurso de dos años y medio.
“Las víctimas del grupo incluyen empresas de sectores como logística, industria, seguros, comercio minorista, bienes raíces, desarrollo de software y banca”, Group-IB dijo en un informe exhaustivo compartido con The Hacker News. «En 2020, el grupo incluso apuntó a un fabricante de armas».
En lo que es una rareza en el panorama del ransomware, OldGremlin (también conocido como TinyScouts) es una de las pocas pandillas de delitos cibernéticos con motivación financiera que se enfoca principalmente en empresas rusas.
Otros grupos notables son Dharma, Crylock y Thanos, que contribuyeron a un aumento de los ataques de ransomware dirigidos a empresas del país en más del 200 % en 2021.
OldGremlin salió a la luz por primera vez en septiembre de 2020 cuando la empresa de ciberseguridad con sede en Singapur reveló nueve campañas orquestadas por el actor entre mayo y agosto. El primer ataque se detectó a principios de abril de 2020.
En total, se dice que el grupo realizó 10 campañas de correo electrónico de phishing en 2020, seguidas de un ataque de gran éxito en 2021 y cinco más en 2022, con demandas de rescate que alcanzaron un récord de $ 16,9 millones.
«OldGremlin estudia a fondo a sus víctimas», explicó Group-IB. «Por lo tanto, el rescate exigido suele ser proporcional al tamaño y los ingresos de la empresa y, obviamente, es superior al presupuesto necesario para garantizar un nivel adecuado de seguridad de la información».
Conocidos por apuntar principalmente a redes empresariales que se ejecutan en Windows, los ataques montados por OldGremlin han aprovechado los correos electrónicos de phishing que se hacen pasar por compañías de servicios legales y de impuestos para engañar a las víctimas para que hagan clic en enlaces fraudulentos y descarguen archivos maliciosos, lo que permite a los atacantes infiltrarse en las redes.
«Los actores de amenazas a menudo se hacen pasar por empresas conocidas, incluido el grupo de medios RBC, el sistema de asistencia legal Consultant Plus, la empresa 1C-Bitrix, la Unión Rusa de Industriales y Empresarios y Minsk Tractor Works», dijo Group-IB.
Al obtener un punto de apoyo inicial, OldGremlin se mueve para establecer la persistencia creando tareas programadas, obteniendo privilegios elevados usando Cobalt Stroke e incluso fallando en Cisco AnyConnect (CVE-2020-3153 y CVE-2020-3433), al tiempo que obtiene acceso remoto a la infraestructura comprometida utilizando herramientas como TeamViewer.
Algunos de los aspectos que hacen que la tripulación se destaque de otros grupos de ransomware es que no se basa en la doble extorsión para obligar a las empresas objetivo a pagar a pesar de la extracción de datos. También se ha observado que toma largos descansos después de cada ataque exitoso.
Además, el tiempo de permanencia promedio hasta la implementación del ransomware se fijó en 49 días, muy por encima de lo informado. Tiempo medio de permanencia de 11 díaslo que sugiere mayores esfuerzos por parte del actor para examinar el dominio violado (que se logra mediante una herramienta llamada TinyScout).
La ola de phishing más reciente de OldGremlin ocurrió el 23 de agosto de 2022, con correos electrónicos que incorporaban enlaces que apuntaban a una carga útil de archivo ZIP alojada en Dropbox para activar la cadena de eliminación.
Estos archivos, a su vez, albergan un archivo LNK malicioso (denominado TinyLink) que descarga una puerta trasera llamada TinyFluff, que es uno de los cuatro implantes utilizados por el grupo: TinyPosh, TinyNode y TinyShell, antes de eliminar las copias de seguridad de datos y soltar el archivo . Ransomware TinyCrypt basado en NET.
- TinyPosh: un troyano de PowerShell diseñado para recopilar y transferir información confidencial sobre el sistema infectado a un servidor remoto y ejecutar secuencias de comandos adicionales de PowerShell.
- TinyNode: una puerta trasera que ejecuta el intérprete de Node.js para ejecutar los comandos recibidos de un servidor de comando y control (C2) a través de la red Tor.
- TinyFluff: A sucesor a TinyNode, que se utiliza como descargador principal para recibir y ejecutar scripts maliciosos.
OldGremlin también utiliza otras herramientas como TinyShot, una utilidad de consola para capturar capturas de pantalla, TinyKiller, que elimina los procesos antivirus a través de un ataque BYOVD (traiga su propio controlador vulnerable) dirigido a los controladores gdrv.sys y RTCore64.sys.
Vale la pena señalar que los operadores detrás del grupo de ransomware BlackByte también fueron descubiertos recientemente aprovechando la misma falla en el controlador RTCore64.sys para desactivar las soluciones de seguridad en las máquinas pirateadas.
Otra aplicación inusual utilizada por OldGremlin en sus ataques es una aplicación de consola .NET llamada TinyIsolator, que desconecta temporalmente el host de la red al deshabilitar los adaptadores de red antes de ejecutar el ransomware.
Además de eso, el arsenal de malware del grupo incluye una versión Linux de TinyCrypt, que está escrito en GO y se inicia después de eliminar los archivos .bash_history, cambiar las contraseñas de los usuarios para limitar el acceso al host comprometido y deshabilitar SSH.
«OldGremlin ha desacreditado el mito de que los grupos de ransomware son indiferentes a las empresas rusas», dijo Ivan Pisarev, jefe del equipo de análisis dinámico de malware en Group-IB.
«A pesar de que OldGremlin se ha centrado en Rusia hasta ahora, no deben subestimarse en otros lugares. Muchas pandillas de habla rusa comenzaron apuntando a empresas en el espacio postsoviético y luego cambiaron a otras geografías».