Như các cuộc tấn công ransomware Chống lại cơ sở hạ tầng quan trọng tiếp tục tăng đột biến trong những tháng gần đây, các nhà nghiên cứu an ninh mạng đã phát hiện ra một kẻ mới tham gia đang tích cực cố gắng tiến hành các cuộc tấn công nhiều tầng vào các mạng công ty lớn gồm phòng thí nghiệm y tế, ngân hàng, nhà sản xuất và nhà phát triển phần mềm ở Nga.
Băng đảng ransomware, có tên mã là “OldGremlin” và được cho là kẻ đe dọa nói tiếng Nga, có liên quan đến một loạt chiến dịch ít nhất kể từ tháng 3, bao gồm một cuộc tấn công thành công nhằm vào phòng thí nghiệm chẩn đoán lâm sàng xảy ra vào tháng trước vào ngày 11/8.
“Cho đến nay, nhóm chỉ nhắm mục tiêu vào các công ty Nga, vốn là điển hình cho nhiều đối thủ nói tiếng Nga, chẳng hạn như Im lặng và Coban, khi bắt đầu con đường phạm tội của chúng “, công ty an ninh mạng Group-IB của Singapore cho biết trong một báo cáo được công bố hôm nay và chia sẻ với The Hacker News.
“Sử dụng Nga như một bãi thử nghiệm, những nhóm này sau đó chuyển sang các khu vực địa lý khác để tránh xa các hành động xấu xa của cảnh sát nước nạn nhân và giảm khả năng kết thúc sau song sắt.”
Phương thức hoạt động của OldGremlin liên quan đến việc sử dụng các cửa hậu tùy chỉnh – chẳng hạn như TinyNode và TinyPosh để tải xuống các tải trọng bổ sung – với mục đích cuối cùng là mã hóa các tệp trong hệ thống bị nhiễm bằng TinyCryptor ransomware (hay còn gọi là decr1pt) và giữ nó làm con tin với giá khoảng 50.000 USD.
Ngoài ra, các nhà khai thác đã giành được chỗ đứng ban đầu trên mạng bằng cách sử dụng một email lừa đảo được gửi thay mặt cho Tập đoàn RBC của Nga, một tập đoàn truyền thông lớn có trụ sở tại Moscow, với “Hóa đơn” ở dòng chủ đề.
Tin nhắn thông báo cho người nhận về việc họ không thể liên lạc với đồng nghiệp của nạn nhân liên quan đến một khoản thanh toán hóa đơn khẩn cấp cùng với một liên kết độc hại để thanh toán hóa đơn mà khi nhấp vào, đã tải xuống phần mềm độc hại TinyNode.
Khi tìm thấy đường vào, kẻ xấu đã sử dụng quyền truy cập từ xa vào máy tính bị nhiễm, lợi dụng nó để di chuyển ngang qua mạng thông qua Cobalt Strike và thu thập dữ liệu xác thực của quản trị viên miền.
Trong một biến thể khác của cuộc tấn công được quan sát vào tháng 3 và tháng 4, tội phạm mạng đã được phát hiện sử dụng Thu hút lừa đảo theo chủ đề COVID cho các doanh nghiệp tài chính giả danh tổ chức tài chính vi mô của Nga để cung cấp Trojan TinyPosh.
Sau đó, một làn sóng riêng biệt của chiến dịch được phát hiện vào ngày 19 tháng 8, khi tội phạm mạng gửi các tin nhắn lừa đảo trực tuyến khai thác các cuộc biểu tình đang diễn ra ở Belarus chê bai chính phủ, một lần nữa chứng minh rằng các tác nhân đe dọa rất thành thạo trong việc tận dụng các sự kiện thế giới để có lợi cho họ.
Nói chung, OldGremlin đã đứng sau chín chiến dịch từ tháng 5 đến tháng 8, theo Group-IB.
Oleg Skulkin, nhà phân tích pháp y kỹ thuật số cấp cao tại Group-IB, cho biết: “Điều khác biệt OldGremlin với các tác nhân đe dọa nói tiếng Nga khác là sự không sợ hãi của họ khi làm việc ở Nga.
“Điều này cho thấy rằng những kẻ tấn công đang tinh chỉnh các kỹ thuật của họ để hưởng lợi từ lợi thế sân nhà trước khi tiến ra toàn cầu, như trường hợp của Silence và Cobalt, hoặc họ là đại diện của một số nước láng giềng của Nga, những người có khả năng sử dụng tiếng Nga.”
