{"id":434207,"date":"2022-10-20T20:27:15","date_gmt":"2022-10-20T20:27:15","guid":{"rendered":"https:\/\/teknomers.com\/es\/oldgremlin-ransomware-dirigido-a-mas-de-una-docena-de-entidades-rusas-en-un-esquema-multimillonario\/"},"modified":"2022-10-20T20:27:17","modified_gmt":"2022-10-20T20:27:17","slug":"oldgremlin-ransomware-dirigido-a-mas-de-una-docena-de-entidades-rusas-en-un-esquema-multimillonario","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/oldgremlin-ransomware-dirigido-a-mas-de-una-docena-de-entidades-rusas-en-un-esquema-multimillonario\/","title":{"rendered":"OldGremlin Ransomware dirigido a m\u00e1s de una docena de entidades rusas en un esquema multimillonario"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Un grupo de ransomware de habla rusa denominado <b>viejogremlin <\/b>se ha atribuido a 16 campa\u00f1as maliciosas dirigidas a entidades que operan en la naci\u00f3n euroasi\u00e1tica transcontinental en el transcurso de dos a\u00f1os y medio.<\/p>\n<p>\u201cLas v\u00edctimas del grupo incluyen empresas de sectores como log\u00edstica, industria, seguros, comercio minorista, bienes ra\u00edces, desarrollo de software y banca\u201d, Group-IB <a rel=\"nofollow noopener\" href=\"https:\/\/www.group-ib.com\/media-center\/press-releases\/oldgremlin-2022\/\" target=\"_blank\">dijo<\/a> en un informe exhaustivo compartido con The Hacker News.  &#8220;En 2020, el grupo incluso apunt\u00f3 a un fabricante de armas&#8221;.<\/p>\n<p>En lo que es una rareza en el panorama del ransomware, OldGremlin (tambi\u00e9n conocido como TinyScouts) es una de las pocas pandillas de delitos cibern\u00e9ticos con motivaci\u00f3n financiera que se enfoca principalmente en empresas rusas.<\/p>\n<p>Otros grupos notables son Dharma, Crylock y Thanos, que contribuyeron a un aumento de los ataques de ransomware dirigidos a empresas del pa\u00eds en m\u00e1s del 200 % en 2021.<\/p>\n<p>OldGremlin sali\u00f3 a la luz por primera vez en septiembre de 2020 cuando la empresa de ciberseguridad con sede en Singapur revel\u00f3 nueve campa\u00f1as orquestadas por el actor entre mayo y agosto.  El primer ataque se detect\u00f3 a principios de abril de 2020.<\/p>\n<p>En total, se dice que el grupo realiz\u00f3 10 campa\u00f1as de correo electr\u00f3nico de phishing en 2020, seguidas de un ataque de gran \u00e9xito en 2021 y cinco m\u00e1s en 2022, con demandas de rescate que alcanzaron un r\u00e9cord de $ 16,9 millones.<\/p>\n<p>&#8220;OldGremlin estudia a fondo a sus v\u00edctimas&#8221;, explic\u00f3 Group-IB.  &#8220;Por lo tanto, el rescate exigido suele ser proporcional al tama\u00f1o y los ingresos de la empresa y, obviamente, es superior al presupuesto necesario para garantizar un nivel adecuado de seguridad de la informaci\u00f3n&#8221;.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/strike-d\" target=\"_blank\" title=\"DevOps backupy\"><img decoding=\"async\" alt=\"La seguridad cibern\u00e9tica\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/10\/Google-lanza-el-proyecto-de-codigo-abierto-GUAC-para-proteger.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>Conocidos por apuntar principalmente a redes empresariales que se ejecutan en Windows, los ataques montados por OldGremlin han aprovechado los correos electr\u00f3nicos de phishing que se hacen pasar por compa\u00f1\u00edas de servicios legales y de impuestos para enga\u00f1ar a las v\u00edctimas para que hagan clic en enlaces fraudulentos y descarguen archivos maliciosos, lo que permite a los atacantes infiltrarse en las redes.<\/p>\n<p>&#8220;Los actores de amenazas a menudo se hacen pasar por empresas conocidas, incluido el grupo de medios RBC, el sistema de asistencia legal Consultant Plus, la empresa 1C-Bitrix, la Uni\u00f3n Rusa de Industriales y Empresarios y Minsk Tractor Works&#8221;, dijo Group-IB.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"\" border=\"0\" data-original-height=\"375\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/10\/1666297635_495_OldGremlin-Ransomware-dirigido-a-mas-de-una-docena-de-entidades.jpg\" \/><\/div>\n<p>Al obtener un punto de apoyo inicial, OldGremlin se mueve para establecer la persistencia creando tareas programadas, obteniendo privilegios elevados usando Cobalt Stroke e incluso fallando en Cisco AnyConnect (<a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2020-3153\" target=\"_blank\">CVE-2020-3153<\/a> y <a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2020-3433\" target=\"_blank\">CVE-2020-3433<\/a>), al tiempo que obtiene acceso remoto a la infraestructura comprometida utilizando herramientas como TeamViewer.<\/p>\n<p>Algunos de los aspectos que hacen que la tripulaci\u00f3n se destaque de otros grupos de ransomware es que no se basa en la doble extorsi\u00f3n para obligar a las empresas objetivo a pagar a pesar de la extracci\u00f3n de datos.  Tambi\u00e9n se ha observado que toma largos descansos despu\u00e9s de cada ataque exitoso.<\/p>\n<p>Adem\u00e1s, el tiempo de permanencia promedio hasta la implementaci\u00f3n del ransomware se fij\u00f3 en 49 d\u00edas, muy por encima de lo informado. <a rel=\"nofollow noopener\" href=\"https:\/\/www.sophos.com\/en-us\/press-office\/press-releases\/2022\/06\/attacker-dwell-time-increased-by-36-percent-sophos-active-adversary-playbook-2022-reveals\" target=\"_blank\">Tiempo medio de permanencia de 11 d\u00edas<\/a>lo que sugiere mayores esfuerzos por parte del actor para examinar el dominio violado (que se logra mediante una herramienta llamada TinyScout).<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"\" border=\"0\" data-original-height=\"385\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/10\/1666297635_401_OldGremlin-Ransomware-dirigido-a-mas-de-una-docena-de-entidades.jpg\" \/><\/div>\n<p>La ola de phishing m\u00e1s reciente de OldGremlin ocurri\u00f3 el 23 de agosto de 2022, con correos electr\u00f3nicos que incorporaban enlaces que apuntaban a una carga \u00fatil de archivo ZIP alojada en Dropbox para activar la cadena de eliminaci\u00f3n.<\/p>\n<p>Estos archivos, a su vez, albergan un archivo LNK malicioso (denominado TinyLink) que descarga una puerta trasera llamada TinyFluff, que es uno de los cuatro implantes utilizados por el grupo: TinyPosh, TinyNode y TinyShell, antes de eliminar las copias de seguridad de datos y soltar el archivo . Ransomware TinyCrypt basado en NET.<\/p>\n<ul>\n<li>TinyPosh: un troyano de PowerShell dise\u00f1ado para recopilar y transferir informaci\u00f3n confidencial sobre el sistema infectado a un servidor remoto y ejecutar secuencias de comandos adicionales de PowerShell.<\/li>\n<li>TinyNode: una puerta trasera que ejecuta el int\u00e9rprete de Node.js para ejecutar los comandos recibidos de un servidor de comando y control (C2) a trav\u00e9s de la red Tor.<\/li>\n<li>TinyFluff: A <a rel=\"nofollow noopener\" href=\"https:\/\/blog.group-ib.com\/oldgremlin_comeback\" target=\"_blank\">sucesor<\/a> a TinyNode, que se utiliza como descargador principal para recibir y ejecutar scripts maliciosos.<\/li>\n<\/ul>\n<p>OldGremlin tambi\u00e9n utiliza otras herramientas como TinyShot, una utilidad de consola para capturar capturas de pantalla, TinyKiller, que elimina los procesos antivirus a trav\u00e9s de un ataque BYOVD (traiga su propio controlador vulnerable) dirigido a los controladores gdrv.sys y RTCore64.sys.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowd-mid-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La seguridad cibern\u00e9tica\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/10\/Adolescente-de-19-anos-arrestado-por-usar-datos-filtrados-de.png\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>Vale la pena se\u00f1alar que los operadores detr\u00e1s del grupo de ransomware BlackByte tambi\u00e9n fueron descubiertos recientemente aprovechando la misma falla en el controlador RTCore64.sys para desactivar las soluciones de seguridad en las m\u00e1quinas pirateadas.<\/p>\n<p>Otra aplicaci\u00f3n inusual utilizada por OldGremlin en sus ataques es una aplicaci\u00f3n de consola .NET llamada TinyIsolator, que desconecta temporalmente el host de la red al deshabilitar los adaptadores de red antes de ejecutar el ransomware.<\/p>\n<p>Adem\u00e1s de eso, el arsenal de malware del grupo incluye una versi\u00f3n Linux de TinyCrypt, que est\u00e1 escrito en GO y se inicia despu\u00e9s de eliminar los archivos .bash_history, cambiar las contrase\u00f1as de los usuarios para limitar el acceso al host comprometido y deshabilitar SSH.<\/p>\n<p>&#8220;OldGremlin ha desacreditado el mito de que los grupos de ransomware son indiferentes a las empresas rusas&#8221;, dijo Ivan Pisarev, jefe del equipo de an\u00e1lisis din\u00e1mico de malware en Group-IB.<\/p>\n<p>&#8220;A pesar de que OldGremlin se ha centrado en Rusia hasta ahora, no deben subestimarse en otros lugares. Muchas pandillas de habla rusa comenzaron apuntando a empresas en el espacio postsovi\u00e9tico y luego cambiaron a otras geograf\u00edas&#8221;.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/10\/oldgremlin-ransomware-targeted-over.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un grupo de ransomware de habla rusa denominado viejogremlin se ha atribuido a 16 campa\u00f1as maliciosas dirigidas a<\/p>\n","protected":false},"author":1,"featured_media":434208,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,4664,4671,48677,32556,10469,4662,4668,4667,16,2473,4654,4658,4659,4653,4655,118607,4663,4883,1351,4666,4665,158,4660],"class_list":["post-434207","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-como-hackear","tag-dirigido","tag-docena","tag-entidades","tag-esquema","tag-filtracion-de-datos","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-mas","tag-multimillonario","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-oldgremlin","tag-programa-malicioso-ransomware","tag-ransomware","tag-rusas","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-una","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/434207","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=434207"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/434207\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/434208"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=434207"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=434207"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=434207"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}